Opdag komplekse angrebsmønstre med korrelation af hændelseslogfiler
Logfiler er små stykker af netværksaktivitet og indeholder meget detaljerede oplysninger om al bruger- og systemaktivitet på dit netværk. Grundlæggende loganalyse hjælper dig med nemt at sortere i millioner af logfiler og udvælge de logfiler, der indikerer mistænkelig aktivitet, samt identificere unormale logfiler, der ikke stemmer overens med normal netværksaktivitet.
Ofte kan en enkelt logfil, der ses alene, virke helt normal, men når den ses sammen med en gruppe andre relaterede logfiler, kan den danne et potentielt angrebsmønster. SIEM-løsninger, der indsamler hændelsesdata fra forskellige kilder i dit netværk, kan registrere eventuelle mistænkelige hændelser i dit miljø.
EventLog Analyzers logkorrelationsmotor opdager logsekvenser – der kommer fra enheder på tværs af dit netværk – som indikerer mulige angreb, og advarer dig hurtigt om truslen. Ved at opbygge stærk analyse og korrelation af hændelseslogfiler kan du begynde at tage proaktive skridt mod netværksangreb.
Logkorrelation med EventLog Analyzer
EventLog Analyzers kraftfulde hændelseskorrelationsmotor identificerer effektivt definerede angrebsmønstre i dine logfiler. Korrelationsmodulet tilbyder mange nyttige funktioner, herunder:
- Foruddefinerede regler: Brug over 30 foruddefinerede SIEM-korrelationsregler, der følger med produktet.
- Dashboardoversigt: Navigér i det brugervenlige korrelationsdashboard, som giver detaljerede rapporter for hvert angrebsmønster samt en oversigtsrapport over alle opdagede angreb, hvilket letter dybdegående analyse.
- Visning af tidslinje: Se et tidslinjediagram, der viser den kronologiske rækkefølge af logfiler for hvert identificeret angrebsmønster.
- Detektering af trusler: Identificer mistænkelig netværksaktivitet udført af kendte ondsindede aktører.
- Intuitiv regelbygger: Definér nye angrebsmønstre med den brugervenlige regelbygger, som giver en kategorisk liste over netværkshandlinger og giver dig mulighed for at trække og slippe dem i den ønskede rækkefølge.
- Feltbaserede filtre: Angiv begrænsninger på logfelter for at få finjusteret kontrol over de definerede angrebsmønstre.
- Øjeblikkelige alarmer: Opsæt e-mail- eller SMS-notifikationer, så du straks får besked, når systemet registrerer et mistænkeligt mønster.
- Regeladministration: Aktivér, deaktiver, fjern eller rediger regler og deres meddelelser fra en enkelt side.
- Kolonnevælger: Kontroller de oplysninger, der vises i hver rapport, ved at vælge de nødvendige kolonner og omdøbe dem efter behov.
- Planlagte rapporter: Opsæt tidsplaner for at generere og distribuere de korrelationsrapporter, du har brug for.
Opret brugerdefinerede korrelationsregler med en intuitiv brugerflade
Med EventLog Analyzers regelbyggergrænseflade gør denne software til hændelseskorrelation processen med at oprette nye angrebsmønstre nem:
- Definér nye angrebsmønstre ved hjælp af over hundrede netværkshændelser.
- Træk og slip regler for at omarrangere, hvilke handlinger der udgør et mønster, og i hvilken rækkefølge.
- Begræns bestemte logfeltværdier med filtre.
- Angiv tærskelværdier for udløsning af alarmer, f.eks. hvor mange gange en hændelse skal forekomme eller tidsrammen mellem hændelser.
- Tilføj et navn, en kategori og en beskrivelse for hver regel.
- Rediger eksisterende regler for at finjustere dine alarmer. Hvis du bemærker, at en specifik regel genererer for mange falske alarmer eller ikke identificerer et angreb, kan du nemt justere regeldefinitionen efter behov.
Rapporter om hændelseskorrelation
EventLog Analyzer leveres med foruddefinerede korrelationsrapporter, der dækker flere velkendte typer angreb, såsom:
- Trusler mod brugerkonti: Beskyt brugerkonti mod at blive kompromitteret ved at kontrollere for mistænkelige aktivitetsmønstre, såsom brute-force-forsøg, mislykkede logon eller forsøg på at ændre adgangskode og mere.
- Trusler mod webservere: Analysér indgående webtrafik for hackingforsøg, såsom ondsindede URL-anmodninger eller SQL-injektioner.
- Trusler mod databaser: Forebyg databrud ved at detektere unormal aktivitet i dine databaser, såsom massesletning af data eller uautoriseret backupaktivitet.
- Ransomware: Opdag ransomware-lignende aktiviteter ved at kontrollere, om den samme proces foretager flere filændringer.
- Trusler mod filintegritet: Beskyt kritiske filer og mapper mod uautoriseret adgang eller ændring med rapporter om mistænkelige ændringer af filtilladelser og forsøg på filadgang.
- Trusler mod Windows og Unix: Identificer unormal aktivitet i dine Windows- og Unix-systemer, såsom potentiel ormeaktivitet, malwareinstallationer, uautoriserede forsøg på ændringer i registreringsdatabasen, uventede sudo-kommandoudførelser og mere.
- Kryptovaluta-relaterede trusler: Beskyt netværksressourcer mod uautoriseret kryptomining ved at kontrollere for unormale stigninger i maskintemperatur eller CPU-forbrug.
Tilgængelige rapporter
Software til kryptovaluta-wallet startet | Software til kryptovaluta-mining startet | Kryptomining: Højt CPU-forbrug i lang tid | Kryptomining: Alarmer ved høj maskintemperatur | Nye systemer tilføjet i netværket | Mistænkelig SQL-backupaktivitet | Mistænkelig tjeneste installeret | Mistænkelig softwareinstallation | Syslog-tjenesten genstartes | Gentagne mislykkede SUDO-kommandoer | Uventede nedlukninger | Bemærkelsesværdige kontospærringer | Hændelseslogfiler ryddet | Gentagne fejl i Windows-backup | Overdreven applikationsnedbrud | Mulig ormeaktivitet | Flere ændringer af systemovervågningspolitikker | Gentagne fejl i registreringsdatabasen | Mislykkede forsøg på filadgang | Gentagne ændringer af objektovervågningspolitikker | Flere ændringer af filtilladelser | Overdreven fjernelse af filer | Mistænkelig filadgang | Mulige ransomware-aktiviteter | Ransomware-detekteringer | Gentagne forsøg på SQL-injektion i databasen | Flere tabeller slettet | Gentagne forsøg på SQL-injektion | Ondsindede URL-anmodninger | Unormal ændring af brugerkonto | Overdreven fejl i ændring af adgangskode | Overdreven logonfejl | Brute force
Forebyg angreb med hændelseskorrelation
EventLog Analyzers foruddefinerede korrelationsregler hjælper dig med at registrere forskellige angrebsindikatorer. Et eksempel er detektering af potentiel malware, der gemmer sig som baggrundstjenester i dit netværk. Se videoen for at forstå, hvordan EventLog Analyzer hjælper dig med at detektere mistænkelig software, der installeres.
Andre funktioner
Analyse af hændelseslog tilbyder logstyring, overvågning af filintegritet og hændelseskorrelationsfunktioner i realtid i en enkelt konsol, der hjælper med at opfylde SIEM-behov, bekæmpe sikkerhedsangreb, og forhindre databrud.
Administration af IT-compliance
Overhold de strenge krav i regulatoriske mandater, f.eks. PCI DSS, FISMA, HIPAA og mere, med foruddefinerede rapporter og alarmer. Tilpas eksisterende rapporter eller opbyg nye rapporter for at opfylde de interne sikkerhedsbehov.
Overvåg kritiske ændringer i fortrolige filer / mapper med alarmer i realtid. Få detaljerede oplysninger om ”hvem har foretaget ændringen, hvad der blev ændret, hvornår og hvorfra” med foruddefinerede rapporter.
Indsaml centralt logdata fra Windows-servere eller -arbejdsstationer, Linux/Unix-servere, netværksenheder, routere, switche og firewalls samt programmer ved hjælp af agentløse eller agentbaserede metoder.
Analyser logdata fra kilder på tværs af netværket. Find anomalier, spor kritiske sikkerhedshændelser, og overvåg brugeradfærd med foruddefinerede rapporter, intuitive dashboards og øjeblikkelige advarsler.
Udfør grundig kriminalteknisk analyse for at tilbagekalde angreb og identificere årsagen til hændelser. Gem søgninger som advarselsprofil for at afbøde fremtidige trusler.
