Accueil
 

Chaque entreprise a besoin d’une détection des menaces efficace et rapide et d’un plan de réponse aux incidents pour lutter contre les nombreuses menaces du contexte de cybersécurité actuel. Log360, solution SIEM de ManageEngine à fonctionnalités DLP intégrée et CASB, détecte les menaces à l’échelle d’un réseau d’entreprise, couvrant les terminaux, les pare-feux, les serveurs Web, les bases de données, les commutateurs, les routeurs et même les sources cloud.

Découvrez comment Log360 effectue les trois principaux types de détection des menaces (événements de sécurité, réseau et terminaux) ci-dessous.

Détection des menaces d’événement de sécurité

Les événements de sécurité consistent en des événements comme l’authentification, l’accès au réseau et d’autres erreurs critiques ou avertissements. On appelle menaces d’événement de sécurité les menaces que l’on peut détecter via ces événements. Voici des exemples : attaque par force brute, abus de privilèges et élévation de privilèges.

Comment Log360 détecte les menaces des événements de sécurité

  • Analyse des utilisateurs privilégiés : vérifiez les connexions d’utilisateur privilégié, les déconnexions et l’accès aux ressources. Décelez une activité anormale des utilisateurs et les menaces connexes via l’analyse comportementale des utilisateurs et des entités à moteur ML.
  • Détection de l’élévation de privilèges : analysez l’activité des utilisateurs et détectez l’élévation de privilèges et les tentatives d’abus via l’application du cadre MITRE ATT&CK à signatures.
  • Analyse des échecs d’authentification : examinez les échecs d’authentification suspects sur des systèmes vitaux avec le tableau de bord d’analyse de sécurité et le calendrier des incidents pour détecter et prévenir les attaques par force brute ou les tentatives d’accès non autorisé au réseau.
  • Détection de l’accès non autorisé aux données : analysez l’accès aux bases de données et aux données sensibles sur des serveurs de fichiers. Suivez l’accès non autorisé aux données avec le contrôle d’intégrité des fichiers et le contrôle d’intégrité des colonnes.
Lire comment Log360 détecte l’élévation de privilèges
Security event threat detection
Network threat detection

Détection des menaces réseau

Les menaces réseau sont des tentatives d’intrusion non autorisée dans le réseau par un individu pour exfiltrer des données sensibles ou perturber son fonctionnement et sa structure. Voici des exemples : DoS, propagation de programme malveillant, menace persistante avancée, exfiltration de données ou introduction d’appareils indésirables. Pour détecter ces menaces, il faut comprendre et analyser le trafic réseau.

Aide de Log360

  • Analyse du trafic : analysez le trafic du réseau pour déceler les connexions inhabituelles, autorisées et refusées. Obtenez un aperçu de l’activité des ports pour détecter une utilisation suspecte.
  • Audit des modifications : analysez les stratégies de pare-feu pour détecter des modifications effectuées par des attaquants pour permettre un trafic malveillant.
  • Veille sur les menaces à mise à jour automatique : détectez et arrêtez le trafic entrant et sortant malveillant avec des flux de menaces à mise à jour dynamique. Identifiez les adresses IP et les URL malveillantes dans le trafic réseau et bloquez-les immédiatement.
  • Détection des appareils indésirables : identifiez les appareils indésirables via la console de recherche et bloquez-les avec des workflows de réponse aux incidents.
Regarder comment Log360 détecte le trafic malveillant

Détection des menaces des terminaux

Les menaces proviennent souvent des terminaux. Un exemple réside dans les rançongiciels, qui se répandent chaque année, en verrouillant des terminaux et demandant une rançon pour y accéder. D’autres menaces des terminaux concernent un comportement d’utilisateur inhabituel, un dysfonctionnement, une mauvaise configuration ou un téléchargement suspect. On peut beaucoup limiter les pertes et les dommages grâce à une intervention rapide, que permet une solution de détection et de réponse aux menaces des terminaux.

Aide de Log360

  • Détection de rançongiciels : décelez des flux de rançongiciels multiples ou ceux génériques avec des règles de corrélation prédéfinies et une notification en temps réel.
  • Détection d’anomalies : détectez un comportement d’utilisateur ou d’entité inhabituel avec des algorithmes ML.
  • Détection de programmes malveillants : identifiez des installations de logiciels suspects ou malveillants sur des machines Windows et Linux.
  • Log360 s’intègre à Endpoint Central, solution de gestion des terminaux de ManageEngine, étendant la surface d’attaque couverte pour une détection efficace des menaces. Cliquez ici pour en savoir plus.
Lire comment Log360 détecte les programmes malveillants
Endpoint threat detection

Pourquoi envisager Log360 pour la détection des menaces

 

  • Détection des incidents en temps réel

    Détection des incidents en temps réel avec gestion des incidents intégrée et prise en charge d’outils tiers de gestion des tickets

  • Module UEBA à moteur ML

    Module UEBA à moteur ML qui détecte les anomalies et facilite des alertes basées sur le score de risque.

  • Tableaux de bord de sécurité pour l’analyse des événements

    Tableaux de bord de sécurité pour analyser les événements de sources de journaux sur site et dans le cloud à travers le réseau.

  • Contrôle d’intégrité des fichiers

    Contrôle d’intégrité des fichiers des fichiers système et des dossiers sensibles qui analyse l’accès et les modifications.

  • Puissant moteur de recherche

    Puissant moteur de recherche qui facilite la détection des menaces.

  • Workflows automatisés

    Workflows automatisés pour une réponse immédiate aux incidents.

  • Module de veille sur les menaces à mise à jour automatique

    Module de veille sur les menaces à mise à jour automatique qui reçoit des flux de sources fiables.

Questions fréquentes

1. En quoi consiste la détection et la réponse aux menaces ?

La détection et la réponse aux menaces (TDR) désigne le processus consistant à identifier et neutraliser les menaces malveillantes que présente l’infrastructure informatique. Elle implique une analyse proactive et une réaction pour prévenir les risques et protéger contre un accès non autorisé, l’activité malveillante et les violations de données avant leur impact négatif sur le réseau de l’entreprise. La détection des menaces utilise des outils de sécurité automatiques (systèmes IDS ou IPS, pare-feux, solutions de protection des terminaux ou SIEM) pour y parvenir.

Elle s’avère cruciale pour détecter et répondre aux menaces dès leur apparition afin de bloquer les programmes malveillants, les rançongiciels et d’autres cyberattaques risquant d’altérer des données ou des processus clés de l’entreprise.

2.Quelle est la différence entre la détection des menaces, la prévention des menaces et la veille sur les menaces ?

  •  Détection des menaces : la détection des menaces est un processus réactif lorsqu’on a déjà été averti d’une activité suspecte ou de menaces de sécurité que présente le réseau, visant des terminaux, des appareils ou des systèmes.
  •  Prévention des menaces : la prévention des menaces est un processus proactif consistant à tenter de protéger les données de l’entreprise contre une violation en identifiant et bloquant les menaces de sécurité avant leur arrivée.
  •  Veille sur les menaces : la veille sur les menaces fournit un aperçu précieux des nouvelles menaces, des indicateurs de compromission, des profils d’acteur et des méthodes d’attaque pour mieux comprendre et anticiper les risques.