Identification de modèles d’attaque complexes par la corrélation des journaux d’événements
Les journaux sont le fil d’Ariane de l’activité réseau et contiennent des détails précis sur toutes les opérations des utilisateurs et du système dans le réseau. Une analyse de base permet de trier facilement des millions de journaux et de choisir ceux qui indiquent une activité suspecte, ou d’identifier des journaux anormaux ne correspondant pas à l’activité habituelle du réseau.
Souvent, un journal examiné individuellement semble tout à fait normal mais, dans un groupe d’autres journaux connexes, peut révéler un modèle d’attaque possible. Les solutions SIEM, qui collectent des données d’événement de diverses sources dans le réseau, détectent les incidents suspects au sein de l’environnement.
EventLog Analyzer offre un moteur de corrélation des journaux pour déceler des séries de données (provenant des appareils à travers le réseau) qui indiquent d’éventuelles attaques et avertit rapidement sur la menace. Disposer de solides outils de corrélation des journaux d’événements et d’analyse permet de prendre des mesures proactives contre les attaques réseau.
Corrélation des journaux avec EventLog Analyzer
Le puissant moteur de corrélation d’événements d’EventLog Analyzer identifie efficacement des modèles d’attaque définis dans les journaux. Son module de corrélation offre plusieurs fonctions utiles, notamment :
- Règles prédéfinies : utilisez plus de 30 règles de corrélation SIEM prédéfinies qu’intègre le produit.
- Tableau de bord global : parcourez le tableau de bord pratique qui propose des rapports détaillés pour chaque modèle d’attaque et un aperçu de toutes les attaques identifiées, ce qui facilite une analyse précise.
- Affichage chronologique : affichez un diagramme contenant la série chronologique des journaux pour chaque modèle d’attaque identifié.
- Détection de menaces : identifiez une activité réseau suspecte effectuée par des acteurs malveillants connus.
- Créateur de règle intuitif : définissez de nouveaux modèles d’attaque avec cette fonction pratique, qui fournit une liste par catégorie des actions réseau et permet de les faire glisser et les déplacer dans l’ordre souhaité.
- Filtres basés sur des champs : définissez des contraintes de champs de journal pour un contrôle affiné sur les modèles d’attaque définis.
- Alertes instantanées : établissez des notifications par courrier ou SMS pour être averti immédiatement lorsque le système détecte un modèle suspect.
- Gestion des règles : activez, désactivez, supprimez ou modifiez des règles et leurs notifications dans une même fenêtre.
- Sélecteur de colonnes : contrôlez l’information affichée dans chaque rapport en choisissant les colonnes requises et en les renommant, le cas échéant.
- Rapports planifiés : établissez des calendriers pour générer et diffuser les rapports de corrélation requis.
Création de règles de corrélation personnalisées dans une interface intuitive
L’interface d’EventLog Analyzer facilite la création de modèles d’attaque :
- Définissez de nouveaux modèles d’attaque avec plus d’une centaine d’événements réseau.
- Faites glisser et déplacez des règles pour réorganiser les actions formant un modèle et leur ordre.
- Limitez certaines valeurs de champ de journal avec des filtres.
- Indiquez des seuils pour déclencher des alertes, comme le nombre d’occurrences d’un événement ou le délai entre des événements.
- Ajoutez un nom, une catégorie et une description pour chaque règle.
- Modifiez des règles existantes pour affiner les alertes. Si vous notez qu’une règle donnée génère trop de faux positifs ou n’identifie pas bien une attaque, ajustez facilement sa définition selon le besoin.
Rapports de corrélation d'événements
EventLog Analyzer offre des rapports de corrélation prédéfinis qui couvrent plusieurs types d’attaques bien connus, comme :
- Menaces de compte d’utilisateur : évitez que les comptes d’utilisateur ne soient compromis en vérifiant des modèles d’activité suspecte, comme des tentatives de force brute ou de modification de mots de passe ou des échecs de connexion.
- Menaces de serveur Web : analysez le trafic Web entrant pour déceler des tentatives de piratage, comme des requêtes URL malveillantes ou des injections SQL.
- Menaces de base de données : évitez les violations de données en détectant une activité anormale des bases de données, comme une suppression en masse ou une sauvegarde non autorisée.
- Rançongiciel : détectez les risques de type rançongiciel en vérifiant si un même processus effectue plusieurs modifications de fichier.
- Menaces d’intégrité de fichier : protégez les fichiers et les dossiers sensibles contre une tentative d’accès ou de modification non autorisée avec des rapports sur les activités suspectes.
- Menaces Windows et Unix : identifiez une activité anormale des systèmes Windows et Unix comme la présence éventuelle d’un ver, des installations de programme malveillant, des tentatives de modification de registre non autorisées ou des exécutions de la commande sudo imprévues.
- Menaces liées aux crypto-monnaies : protégez les ressources du réseau contre un usage pour un crypto-minage non autorisé en vérifiant des pics anormaux de la température d’une machine ou de l’utilisation du processeur.
Rapports disponibles
Cryptocurrency wallet software started | Cryptocurrency mining software started | Cryptomining: High CPU usage for a long time | Cryptomining: High machine temperature alerts | New systems added in network | Suspicious SQL backup activity | Suspicious service installed | Suspicious software installation | Syslog service restarts | Repeated failed SUDO commands | Unexpected shutdowns | Notable account lockouts | Event logs cleared | Windows backup repeated failures | Excessive application crashes | Possible worm activity | Multiple system audit policy changes | Repeated registry entry failures | Failed file access attempts | Repeated object audit policy changes | Multiple file permission changes | Excessive file removal | Suspicious file access | Possible ransomware activities | Ransomware detections | Repeated SQL injection attempts in DB | Multiple tables dropped | Repeated SQL injection attempts | Malicious URL requests | Anomalous user account change | Excessive password change failure | Excessive logon failures | Brute force
Prévention des attaques grâce à la corrélation d’événements
Les règles de corrélation prédéfinies permettent de détecter divers indices d’attaque. Par exemple, on peut détecter un programme malveillant potentiel se dissimulant sous forme de services en arrière-plan dans le réseau. Regardez la vidéo pour comprendre comment EventLog Analyzer permet de détecter l’installation d’un programme suspect.
Détectez des modèles d’événements de sécurité suspects.
Merci!
Votre téléchargement est en cours et il sera terminé en quelques secondes seulement !
Si vous rencontrez des problèmes, téléchargez manuellement ici
Autres fonctionnalités
EventLog Analyzer offre des capacités de gestion des journaux, de monitoring d'intégrité de fichier et de corrélation d'événements en temps réel dans une console unique qui contribuent à répondre aux besoins de SIEM, à combattre les atteintes à la sécurité et à empêcher les violations de données.
Conformez-vous aux exigences rigoureuses des mandats réglementaires, à savoir PCI DSS, FISMA, HIPAA, etc., avec des rapports et des alertes prédéfinis. Personnalisez les rapports existants ou créez de nouveaux rapports pour répondre aux besoins de sécurité interne.
Surveillez les modifications critiques apportées aux fichiers/dossiers confidentiels à l'aide d'alertes en temps réel. Obtenez des informations détaillées telles que « qui a effectué la modification, qu’est-ce qui a été modifié, quand et d'où ' avec des rapports prédéfinis.
Collectez de façon centralisée les données des journaux depuis les serveurs ou les stations de travail Windows, les serveurs Linux/Unix, les périphériques réseau, à savoir les routeurs, les commutateurs et les pare-feu, et les applications utilisant des méthodes sans agent ou basées sur agent.
Effectuez des examens approfondis pour retracer les attaques et identifier la cause première des incidents. Enregistrez les requêtes de recherche sous forme de profil d'alerte afin d'atténuer les menaces futures.
Collectez et analysez les données Syslog des routeurs, commutateurs, pare-feu, identifiants/adresses IP, serveurs Linux/Unix, etc. Obtenez des rapports approfondis pour chaque événement de sécurité. Recevez des alertes en temps réel en cas d'anomalies et de dépassements.
Need Features? Tell Us
If you want to see additional features implemented in EventLog Analyzer, we would love to hear. Click here to continue