Descubra padrões de ataque complexos com a correlação de logs de eventos

Os logs são a trilha da atividade da rede e contêm informações altamente detalhadas sobre todas as atividades do usuário e do sistema em sua rede. A análise básica de logs ajuda você a classificar facilmente milhões de logs e selecionar aqueles que indicam atividade suspeita, bem como identificar logs anômalos que não se alinham à atividade normal da rede.

O mecanismo de correlação de logs do EventLog Analyzer detecta sequências de logs provenientes de dispositivos em sua rede que indicam possíveis ataques e alerta rapidamente sobre a ameaça. A criação de sólidas capacidades de análise e correlação de logs de eventos permite que você comece a tomar medidas proativas contra ataques à rede.

• Regras predefinidas: Utilize mais de 30 regras de correlação SIEM predefinidas que acompanham o produto.
• Painel de visão geral: Navegue pelo painel de controle de correlação fácil de usar, que fornece relatórios detalhados para cada padrão de ataque, bem como um relatório de visão geral de todos os ataques descobertos, facilitando a análise detalhada.
• Visualização da linha do tempo: Veja um diagrama da linha do tempo mostrando a sequência cronológica de logs para cada padrão de ataque identificado.
• Detecção de ameaças: Identificar atividade de rede suspeita perpetrada por agentes mal-intencionados conhecidos.
• Construtor de regras intuitivo: Defina novos padrões de ataque com o construtor de regras fácil de usar, que fornece uma lista de ações de rede por categoria e permite que você arraste e solte-os na ordem desejada.
• Filtros baseados em campos: Defina restrições nos campos de logs para controle detalhado sobre os padrões de ataque definidos.
• Alertas instantâneos: Configure notificações por e-mail ou SMS para que você seja imediatamente alertado sempre que o sistema detectar um padrão suspeito.
• Gerenciamento de regras: Habilitar, desabilitar, remover ou editar regras e suas notificações em uma única página.
• Seletor de colunas: Controle as informações mostradas em cada relatório selecionando as colunas necessárias e as renomeando conforme necessário.
• Relatórios agendados: Configure escalas para gerar e distribuir os relatórios de correlação necessários.

• Defina novos padrões de ataque usando mais de cem eventos de rede.
• Arraste e solte regras para reorganizar quais ações compõem um padrão e em que ordem.
• Restrinja determinados valores de campo de log com filtros.
• Especifique valores de limiar para acionar alertas, como quantas vezes um evento tem que ocorrer ou o intervalo de tempo entre eventos.
• Adicione um nome, uma categoria e uma descrição para cada regra.
• Edite as regras existentes para ajustar seus alertas. Se você notar que uma regra específica está gerando muitos falsos positivos ou não consegue identificar um ataque, você pode ajustar facilmente a definição da regra conforme necessário.

Relatórios de correlação de eventos

O EventLog Analyzer vem com relatórios de correlação predefinidos que abrangem vários tipos conhecidos de ataques, como:

• Ameaças a contas de usuários: Proteja contra o comprometimento das contas de usuários verificando padrões de atividade suspeitos, como tentativas de força bruta, falhas de login ou tentativas de alteração de senha e muito mais.
• Ameaças a servidores da web: Analise o tráfego de entrada da web em busca de tentativas de invasão, como solicitações de URL mal-intencionados ou injeções de SQL.
• Ameaças ao banco de dados: Evite violações de dados detectando atividade atípica em seus bancos de dados, como exclusão de dados em massa ou atividade de backup não autorizada.
• Ransomware: Detecte atividades semelhantes a ransomware verificando se várias modificações de arquivos estão sendo feitas pelo mesmo processo.
• Ameaças à integridade do arquivo: Proteja arquivos e pastas críticos contra acesso não autorizado ou modificação com relatórios sobre alterações suspeitas de permissão de arquivos e tentativas de acesso a arquivos.
• Ameaças ao Windows e Unix: Identifique atividades anômalas em seus sistemas Windows e Unix, como possíveis atividades de worm, instalações de malware, tentativas não autorizadas de alteração de registro, execuções inesperadas de comandos sudo e muito mais.
• Ameaças relacionadas a criptomoedas: Proteja os recursos de rede contra o uso de criptomineração não autorizada verificando se há picos irregulares na temperatura da máquina ou no uso da CPU.

Infográfico relacionado: Detecte criptomineração ou criptojacking não autorizados com o EventLog Analyzer.

Relatórios disponíveis:

Software de carteira de criptomoeda iniciado | Software de criptomineração iniciado | Criptomineração: Alto uso da CPU por um longo período | Criptomineração: Alertas de alta temperatura da máquina | Novos sistemas adicionados na rede | Atividade suspeita de backup SQL | Instalação de serviço suspeito | Instalação de software suspeito | Reinicialização do serviço Syslog | Comandos SUDO repetidos com falha | Desligamentos inesperados | Bloqueios de contas notáveis | Logs de eventos limpos | Falhas repetidas de backup do Windows | Excessivas falhas de aplicações | Possível atividade de worm | Várias alterações de diretiva de auditoria do sistema | Falhas repetidas de entrada no registro | Tentativas de acesso a arquivos com falha | Alterações repetidas de diretiva de auditoria de objetos | Alterações de permissão de vários arquivos | Remoção excessiva de arquivos | Acesso suspeito a arquivos | Possíveis atividades de ransomware | Detecções de ransomware | Repetidas tentativas de injeção de SQL no banco de dados | Várias tabelas ignoradas | Tentativas repetidas de injeção de SQL | Solicitações de URL mal-intencionados | Alteração de conta de usuário atípica | Falha excessiva de alteração de senha | Falhas excessivas de logon | Força bruta

Precisa de recursos? Conte-nos
Nós gostaríamos muito de saber se você deseja que recursos adicionais sejam implementados no EventLog Analyzer, nós gostaríamos de saber. Clique aqui para continuar