Il rilevamento dell’attività degli hacker e degli operatori interni pone molte difficoltà. Infatti, le aziende potrebbero disporre delle migliori soluzioni di sicurezza della rete per individuare e ridurre le anomalie della rete, tuttavia gli asset aziendali continuano ad essere compromessi. Proteggere la rete da ogni attacco è impossibile, ma esiste una fonte affidabile che può aiutare a scovare l’attività di hacker e operatori interni, ovvero i dati di registro. Per individuare l’intruso della rete e i problemi di rete, gli amministratori informatici devono condurre un’analisi forense dei dati di registro, che contengono nel dettaglio tutte le attività che si verificano sulla rete. Inoltre, gli amministratori informatici dovrebbero sfruttare il servizio di intelligence in materia di sicurezza della rete fornito dai dati di registro generati dalle macchine.
La ricerca manuale dei dati di registro è impossibile poiché è necessario analizzare migliaia di eventi registrati. Non sarebbe quindi fantastico se fosse sufficiente digitare determinate parole chiave per ottenere in pochi secondi quello che si sta cercando? Così facendo, si eliminerebbe del tutto il difficile processo di ricerca manuale nei registri. Grazie alla funzionalità di ricerca del registro di EventLog Analyzer, è possibile ottenere la precisa informazione ricercata e adottare misure concrete per proteggere la rete e ridurre le minacce della rete.
La funzionalità di ricerca del registro di EventLog Analyzer è molto semplice e consente di eseguire una ricerca libera. Quando un utente inserisce un criterio di ricerca nella barra di ricerca, EventLog Analyzer esegue rapidamente il drill-down dei registri non elaborati e recupera i risultati della query di ricerca. I criteri di ricerca possono consistere in caratteri jolly, frasi e operatori booleani. EventLog Analyzer consente inoltre di eseguire ricerche per raggruppamento e ricerche per intervallo. EventLog Analyzer non si limita ad un insieme di campi predeterminati durante l’esecuzione di una ricerca, ma permette la ricerca tramite ID evento, gravità, origine, nome utente, indirizzo IP, etc., o una combinazione di tutti i criteri, per soddisfare il criterio di ricerca.
Tramite la funzionalità di ricerca del registro di EventLog Analyzer, gli utenti vengono assistiti nell’esecuzione dell’analisi forense del registro e sono in grado di eseguire facilmente il drill-down di Terabyte di dati di registro non elaborati e trovare quello che cercano.
EventLog Analyzer fornisce due diverse funzionalità di ricerca del registro, la Ricerca di base e la Ricerca avanzata, che forniscono entrambe potenti funzionalità di ricerca dei dati di registro.
La Ricerca di base e avanzata di EventLog Analyzer consente agli amministratori di rete di individuare con precisione l’esatta voce del registro che ha causato l'attività di sicurezza, trovare l’ora esatta in cui si è verificato il corrispondente evento di sicurezza, chi ha avviato l’attività e infine la posizione dalla quale l’attività è stata originata.
La Ricerca di base di EventLog Analyzer consente agli utenti di ricercare qualsiasi cosa semplicemente digitando la query di ricerca nella casella di ricerca. Durante la digitazione della query di ricerca, l’utente riceve suggerimenti automatici che semplificano il processo di ricerca. La Ricerca di base consente agli utenti di utilizzare caratteri jolly, frasi e operatori booleani durante la formulazione della query di ricerca. Durante la Ricerca di base è possibile condurre anche Ricerche per raggruppamento e Ricerche per intervallo.
La Ricerca avanzata di EventLog Analyzer prevede funzionalità di ricerca più sofisticate, ma la semplicità di utilizzo resta la stessa della Ricerca di base. La Ricerca avanzata è utilizzata quando l’utente sta tentando di eseguire un’analisi della causa principale correlando più eventi e attributi. La Ricerca avanzata consente agli utenti di eseguire la ricerca tra più gruppi di criteri di ricerca contemporaneamente. È inoltre possibile utilizzare dei filtri per selezionare alcuni tipi di evento, gravità e altri attributi.
Gli amministratori informatici costruiscono query complesse per eseguire la ricerca del registro. Quando desiderano eseguire più spesso la stessa ricerca, ogni volta si trovano di fronte alla difficoltà di dover digitare l’intera query complessa per ottenere i risultati di ricerca. Non sarebbe più facile se tali registri fossero contrassegnati come preferiti e che la ricerca fosse eseguita più semplicemente senza digitare la query?
EventLog Analyzer prevede un utile strumento di tagging che rende la ricerca del registro più semplice e più efficace. Tale strumento contrassegna come preferiti i registri e la volta successiva che si desidera eseguire una ricerca su di essi, è sufficiente ricercarli tramite il nome del tag invece che digitare l’intera query di ricerca. Questa funzionalità fornisce inoltre la possibilità di aggiungere/modificare i criteri di ricerca, consentendo di affinare la ricerca in qualsiasi momento. Assieme ai tag, è inoltre possibile aggiungere consigli di risoluzione o note che forniscono informazioni agli altri utenti nell’analisi di tagli registri.