Identifique padrões de ataques complexos com a correlação de logs de eventos

Os logs são a trilha da atividade de rede e contêm informações muito detalhadas sobre todas as atividades do usuário e do sistema na sua rede. A análise básica de logs ajuda-o a classificar milhões de logs facilmente e selecionar aqueles que indicam atividades suspeitas, além de identificar logs anômalos que não estão alinhados com a atividade normal da rede.

O mecanismo de correlação de logs do EventLog Analyzer identifica sequências de logs — provenientes de dispositivos na sua rede — que indicam possíveis ataques e o alerta rapidamente sobre a ameaça. Criar fortes recursos de correlação e análise de logs de eventos permite-lhe começar a tomar medidas proativas contra ataques de rede.

• Regras predefinidas: Utilize mais de 30 regras de correlação de SIEM predefinidas que acompanham o produto.
• Dashboard de visão geral: Navegue pelo dashboard de correlação fácil de usar, que fornece relatórios detalhados para cada padrão de ataque, além de um relatório geral de todos os ataques descobertos, facilitando uma análise profunda.
• Visão da linha do tempo: VVeja um diagrama de linha do tempo mostrando a sequência cronológica de logs para cada padrão de ataque identificado.
• Detecção de ameaças: Identifique atividades de rede suspeitas perpetradas por agentes mal-intencionados conhecidos.
• Construtor de regras intuitivo: Defina novos padrões de ataques com o construtor de regras fácil de usar, que fornece uma lista categórica de ações de rede e permite arrastá-las e soltá-las na ordem desejada.
• Filtros baseados em campos: Defina restrições nos campos de logs para um controle refinado sobre os padrões de ataque definidos.
• Alertas instantâneos: Configure notificações por e-mail ou SMS para ser alertado imediatamente sempre que o sistema detectar um padrão suspeito.
• Gerenciamento de regras: Ative, desative, remova ou edite regras e suas notificações em uma única página.
• Seletor de colunas: Controle as informações mostradas em cada relatório selecionando as colunas necessárias e as renomeando conforme necessário.
• Relatórios programados: Configure programações para gerar e distribuir os relatórios de correlação necessários.

• Defina novos padrões de ataque utilizando mais de 100 eventos de rede.
• Arraste e solte as regras para reorganizar quais ações compõem um padrão e em que ordem.
• Restrinja determinados valores de campo de logs com filtros.
• Especifique valores limite para acionar alertas, como quantas vezes um evento deve ocorrer ou o intervalo de tempo entre os eventos.
• Adicione um nome, categoria e descrição para cada regra.
• Edite as regras existentes para ajustar seus alertas. Caso você observar que uma regra específica está gerando muitos falsos positivos ou não consegue identificar um ataque, pode ajustar a definição da regra facilmente, conforme necessário.

Relatórios de correlação de eventos

O EventLog Analyzer é oferecido com relatórios de correlação predefinidos que abrangem vários tipos de ataques conhecidos, como:

• Ameaças às contas dos usuários: Proteja as contas dos usuários contra comprometimentos verificando padrões de atividades suspeitas, como tentativas de força bruta, tentativas malsucedidas de login ou alteração de senha, e muito mais.
• Ameaças a servidores web: Analise o tráfego de entrada da web em busca de tentativas de invasões, como solicitações de URLs maliciosas ou injeções de SQL.
• Ameaças a banco de dados: Evite violações de dados detectando atividades anômalas nos seus bancos de dados, como exclusão em massa de dados ou atividades de backup não autorizadas.
• >Ransomware: Detecte atividades de ransomware verificando se há várias modificações de arquivos realizadas pelo mesmo processo.
• Ameaças à integridade de arquivos: Proteja arquivos e pastas críticos contra acesso ou modificação não autorizado com relatórios sobre mudanças suspeitas de permissão de arquivos e tentativas de acesso a arquivos.
• Ameaças ao Windows e Unix: Identifique atividades atípicas nos seus sistemas Windows e Unix, como possíveis atividades de worms, instalações de malware, tentativas não autorizadas de alteração de registros, execuções inesperadas de comandos sudo, e muito mais.
• Ameaças relacionadas a criptomoedas: Proteja os recursos da rede contra o uso para mineração não autorizada de criptomoedas, verificando picos anômalos na temperatura da máquina ou no uso da CPU.

Infográfico relacionado: Detecte a mineração não autorizada de criptomoedas ou “cryptojacking” não autorizado com o EventLog Analyzer.

Available Reports

Software de carteira de criptomoedas iniciado | Software de mineração de criptomoedas iniciado | Mineração de criptomoedas: Alto uso da CPU por muito tempo | Mineração de criptomoedas: Alertas de alta temperatura da máquina | Novos sistemas adicionados à rede | Atividade suspeita de backups de SQL | Serviço suspeito instalado | Instalação de softwares suspeitos | O serviço Syslog é reiniciado | Comandos SUDO com falha repetidas | Desligamentos inesperados | Bloqueios de contas observados | Logs de eventos apagados | Falhas repetidas no backup do Windows | Falhas excessivas em aplicações | Possível atividade de worm | Várias alterações na política de auditoria do sistema | Falhas repetidas na entrada de registros | Tentativas malsucedidas de acesso a arquivos | Mudanças repetidas na política de auditoria de objetos | Várias mudanças de permissões de arquivos | Remoção excessiva de arquivos | Acesso a arquivos suspeitos | Possíveis atividades de ransomware | Detecções de ransomware | Tentativas repetidas de injeção de SQL no banco de dados | Várias tabelas foram eliminadas | Tentativas repetidas de injeção de SQL | Solicitações de URL maliciosas | Alteração anômala em contas de usuários | Falha excessiva na alteração de senhas | Falhas excessivas de logon | Força bruta

Precisa de recursos?
Se você quiser ver recursos adicionais implementados no EventLog Analyzer, adoraríamos ouvi-lo Clique aqui para continuar