Windows-gebeurteniscontrole

Voor heel wat organisaties die Windows-apparaten gebruiken, vinden de meeste activiteiten plaats op Windows-netwerken. Met zoveel Windows-apparaten in gebruik, zijn verschillende eigen toepassingen, zoals de systeemeigen Windows-firewall, back-up en hypervisor-toepassingen, ook populair bij organisaties. Het controleren van logboekinformatie van Windows-apparaten kan op vele manieren waardevol blijken, bijvoorbeeld door:

• Leveren van een overzicht van alle netwerkactiviteiten op alle ernstniveaus van de Windows-gebeurtenislogboeken.
• Beveiligen van netwerken met informatie over potentiële inbreuken, kwetsbaarheden en afwijkingen.
• Samenvatten van de gebruikersactiviteit en gegevens, vastgelegd door verschillende systeemeigen toepassingen.
• Beschermen van organisaties tegen gegevensdiefstal en controleren van het gebruik van verwisselbare apparaten.
• Vaststellen van gebeurtenissen die verdacht lijken, zoals meerdere mislukte aanmeldingspogingen of crashes van toepassingen.
• Volgen van alle systeemgebeurtenissen en registerwijzigingen.

Met de uitgebreide verzameling van vooraf gedefinieerde rapporten en waarschuwingen, automatiseert EventLog Analyzer de anders arbeidsintensieve taak van het controleren van Windows-apparaatgegevens.

Controleren van Windows-apparaten met EventLog Analyzer

EventLog Analyzer biedt:

• Ondersteuning voor zowel de oudere EVT- als de nieuwere EVTX-indelingen van gebeurtenislogboeken. Dit omvat controlelogboeken van server- en clientversies van Windows NT, XP, Vista, 2000, 2003, 2008, 2012, 7, 8 en 10.
• Activiteitenanalyse voor verschillende systeemeigen toepassingen, inclusief Windows Firewall, Windows back-up en herstel en Microsoft Hyper-V.
• Agentloze technologie voor het verzamelen van gebeurtenislogboeken, met de optie om agenten te installeren als dat nodig is.
• Centrale logboekopslag en gegevensnormalisatie.
• Honderden vooraf gedefinieerde rapporten, met inbegrip van rapporten voor regelgevende naleving.
• Beveiligde en gecodeerde, maar toch flexibele archivering van logboeken.
• Realtime waarschuwingen via e-mail of SMS voor opvallende gebeurtenissen, zoals mislukte aanmeldingen, objecttoegang en netwerkafwijkingen en meer.
• Eenvoudige en geavanceerde zoekopties voor grondig forensisch logboekonderzoek.

Controlefuncties voor Windows-apparaten

Logboekverzameling

• Windows-gebeurtenislogboeken worden verzameld zonder agent.
• Geef een overzicht weer van alle verzamelde logboeken op het dashboard van het product.
• Bewaak het aantal en type van de logboeken (zoals waarschuwingen of fouten) die zijn verzameld van elk Windows-apparaat op het dashboard.

Logboekanalyse

• EventLog Analyzer biedt meer dan 120 vooraf gedefinieerde rapporten voor de controle van het Windows-apparaat, wat een groot bereik van gebeurtenissen dekt.
• Rapporten zijn gemakkelijk te begrijpen met weergave in de vorm van zowel grafieken als tabellen.
• Rapporten aanpassen, plannen en distribueren via e-mail. Rapporten exporteren in PDF- en CSV-indelingen.

Waarschuwingen in real-time

• Ontvang waarschuwingen in realtime over opvallende gebeurtenissen, met inbegrip van hoge profielbedreigingen, zoals potentiële beveiligingsinbreuken, verzonden als e-mail of sms.
• Pas waarschuwingsprofielen aan door het instellen van prioriteitsniveaus voor waarschuwingen, het kiezen van de voorwaarden voor het genereren van waarschuwingen en meer.
• Duid geautomatiseerde programmareacties aan, zoals het genereren van een SNMP-trap of het activeren van een akoestisch alarm.

Realtime correlatie van gebeurtenissen

• EventLog Analyzer biedt realtime correlatie van gebeurtenissen waarbij gebeurtenissen op meerdere apparaten worden gecorreleerd en een waarschuwing wordt weergegeven als een potentieel aanvalspatroon wordt gedetecteerd.
• Met meer dan 70 vooraf gedefinieerde correlatieregels, gebruikt u een eenvoudige interface voor slepen en neerzetten waarmee u complexe regels kunt maken die mogelijke aanvalspatronen herkennen.

Naleving van regelgeving

• Gebruik vooraf gedefinieerde rapporten om te voldoen aan meerdere regelgevingen, inclusief PCI DSS, HIPAA, SOX, GLBA, FISMA, ISO 27001:2013 en GPG.
• Genereer alarmen voor alle met het nalevingsbeleid verwante gebeurtenissen, zoals wijzigingen aan gebruikersaccounts of en wissen van auditlogboeken.
• Maak aangepaste nalevingsrapporten om op de hoogte te blijven van toekomstige nalevingsvereisten.

Forensisch logboekonderzoek

• EventLog Analyzer biedt een krachtige zoekmachine met meerdere flexibele zoekopties, wat de analyse van de hoofdoorzaak vergemakkelijkt. Ontdek gemakkelijk de tijd, locatie en persoon die een beveiligingsgebeurtenis veroorzaakt.
• Zoek zowel onbewerkte en opgemaakte logboeken.
• Sla de zoekresultaten op als eenmalige rapporten of stel een planning in om terugkerende rapporten te genereren. Maak waarschuwingsprofielen op basis van zoekacties.

Logboekarchivering

• Logboeken worden veilig gecomprimeerd en gearchiveerd zodat ze knoeivrij zijn.
• Pas de logboekarchiefbestanden aan, ook wanneer ze worden gemaakt en later worden verwijderd, en wanneer ze worden opgeslagen.
• U kunt op elk ogenblik archiefbestanden laden, zoeken en erover rapporteren voor meer informatie over het bereik van gebeurtenissen.

Windows-apparaatrapporten

Meer dan 120 vooraf gedefinieerde rapporten voor Windows-apparaten zijn gecategoriseerd in logische rapportgroepen voor gemakkelijke toegang. Rapporten zijn beschikbaar in de volgende categorieën:

• Ernstrapporten van Windows: Geef alle Windows-gebeurtenislogboeken weer, inclusief het beveiligingsniveau (gelukt, mislukt, informatie, kritiek enz.) voor elke gebeurtenis.
• Kritieke rapporten van Windows: Geef belangrijke gebeurtenissen weer op basis van het niveau van de kritieke aard, het apparaat en trends.
• Systeemgebeurtenissen van Windows: Volg verschillende belangrijke systeemgebeurtenissen, zoals opstarten en uitschakelen, service- en softwareinstallaties, Windows-updates en veel meer.
• Bedreigingsrapporten: Identificeren van netwerkaanvallen, zoals denial of service- (DDoS) of downgrade-aanvallen, en andere gebeurtenissen die de netwerkbeveiliging beïnvloeden, zoals de service voor het registreren van de gebeurtenislogboeken of gebruikersaccounts die worden vergrendeld.
• Controle van verwisselbare schijf: Controleer het gebruik van verwisselbare schijven op een netwerk, inclusief alle gegevensbewerkingen die worden uitgevoerd op verwisselbare schijven, zoals maken, wijzigen, verwijderen en meer.
• Netwerkbeleid: Controleer gebeurtenissen die optreden als het resultaat van het netwerkbeleid, zoals de verleende of geweigerde netwerktoegang en accountvergrendelingen door herhaalde aanmeldingsfouten.
• Registerwijzigingen: Volg het gebruik van het Windows-register en bekijk alle wijzigingen aan de registerwaarden.
• Back-up en herstel van Windows: Controleer alle activiteit op de systeemeigen Windows back-upsoftware, Windows back-up en herstel.
• Toepassingscrashes: Zoek de redenen achter verschillende crashes van toepassingen, zoals de BSOD-fout (Blue Screen of Death), een toepassing die blijft hangen, systeemfouten en andere toepassingsfouten.
• Toepassing op witte lijst plaatsen: Geef gedetailleerde informatie over toepassingen waarvan het uitvoeren is gelukt of mislukt.
• Programma-inventaris: Volg alle installaties, updates en verwijderingen van toepassingen.
• Windows Firewall: Controleer Windows Firewall en volg wijzigingen aan regels en beleidslijnen. Identificeer verschillende aanvallen die zijn voorkomen door de firewall, zoals spoof-aanvallen, overloopaanvallen, ping of death-aanvallen en meer.
• Antivirusrapporten: Zoek gedetailleerde informatie over bedreigingen die zijn gedetecteerd door verschillende populaire antivirusprogramma's, waaronder ESET, Kaspersky, Sophos, Norton en de systeemeigen Windows-antivirus- en anti-malwaretoepassingen.
• Gegevensdiefstal: Onthul gegevensdiefstal: vanuit verschillende toegangspunten, zoals printers, verwisselbare media, databaseback-ups en meer.
• Hyper-V-controle: Controleer de activiteit op Microsoft Hyper V-servers en virtuele machines, zoals het maken van partities, het maken van Hyper-V-switch, VM-aanmaak, importbewerkingen en meer.