En matière de sécurité réseau, les organisations se livrent à un cycle constant de détection, gestion et réponse aux incidents. Une organisation type peut connaître des centaines d’incidents par jour et les nouvelles formes d’attaques évoluent en permanence. Cela rend la réponse aux incidents difficile, car il faut veiller à traiter tous les incidents tout en atténuant les dommages pour l’organisation.
L’élaboration d’un système complet de réponse aux incidents peut relever du défi, mais un moyen simple permet de l’aborder, l’automatisation de workflows. EventLog Analyzer de ManageEngine offre une solution de sécurité complète, riche en fonctionnalités, notamment de détection d’incident avancée, de gestion des incidents et de réponse automatique à l’aide de workflows.
Un workflow d’incident expose la série des mesures à prendre à la suite d’un incident de sécurité. EventLog Analyzer permet de définir et d’associer des workflows d’incident à des alertes de sécurité, pour exécuter automatiquement ces workflows lorsque des alertes se déclenchent. En automatisant des mesures correctives standards via ces workflows, on accélère et simplifie nettement le traitement tout en minimisant ou éliminant les dommages possibles.
EventLog Analyzer intègre plusieurs workflows de mesures correctives courantes comme la désactivation des ordinateurs compromis et le verrouillage des comptes piratés ou d’utilisateurs malveillants. Pour les déployer, choisissez le workflow prédéfini lorsque vous configurez des alertes de sécurité dans le produit.
On peut créer entièrement des workflows d’incident personnalisés grâce à l’interface pratique du générateur de workflow d’EventLog Analyzer. Il suffit de choisir les actions dans le menu de gauche, d’indiquer leurs paramètres et de les placer dans l’ordre voulu. L’interface intuitive facilite la création de workflows selon les besoins.
L’efficacité d’un workflow automatisé exige de pouvoir suivre ce qui se passe à chaque exécution. EventLog Analyzer suit les workflows avec des rapports détaillés sur chaque historique d’exécution. La page de gestion centrale permet d’activer ou de désactiver des workflows et d’afficher le nombre d’alertes associées à chaque workflow, entre autres.
Les workflows d’incident automatisés aident à réduire le besoin pour l’équipe de sécurité d’effectuer des tâches banales et améliorent grandement l’efficacité de l’organisation en termes de résolution des incidents.