Découvrir les modèles d'attaques complexes grâce à la corrélation des journaux des événements

Les journaux constituent le fil d'Ariane de l'activité réseau et contiennent des informations extrêmement détaillées sur toutes les activités utilisateur et système sur votre réseau. L'analyse de base des journaux vous aide à trier facilement des millions de journaux et à prélever les journaux qui indiquent une activité suspecte, ainsi qu'à identifier les journaux anormaux qui ne concordent pas avec l’activité réseau normale.

event-correlaton-video-icon

Un journal affiché isolément peut souvent sembler tout à fait normal, mais lorsqu'il est affiché avec un groupe d'autres journaux similaires, il est possible qu’on y décèle un modèle d'attaque potentielle. Les solutions SIEM, qui collectent les données d'événements provenant de diverses sources dans votre réseau, peuvent détecter tous les incidents suspects dans votre environnement.

Le moteur de corrélation des journaux d'EventLog Analyzer découvre des séquences de journaux – provenant de périphériques présents dans l’ensemble de votre réseau – qui indiquent les attaques possibles et vous avertissent rapidement de la menace. La création de fortes capacités de corrélation et d'analyse des journaux des événements vous permet de commencer à prendre des mesures proactives contre les attaques réseau.

working-with-correlation reports-video-icon

Corrélation des journaux avec EventLog Analyzer

Le puissant moteur de corrélation d'événements d’EventLog Analyzer identifie efficacement les modèles d'attaque définis dans vos journaux. Son module de corrélation offre de nombreuses fonctionnalités utiles, notamment :

  • Règles prédéfinies : Utilisez plus de 30 règles de corrélation SIEM prédéfinies fournies avec le produit.
  • Tableaux de bord de vue d'ensemble : Naviguez dans le tableau de bord de corrélation facile à utiliser, qui fournit des rapports détaillés pour chaque modèle d'attaque ainsi qu'un rapport de vue d'ensemble de toutes les attaques découvertes, facilitant ainsi une analyse approfondie.
  • Affichage de la chronologie : Affichez un diagramme chronologique montrant la séquence chronologique des journaux pour chaque modèle d'attaque identifié.
  • Détection des menaces : Identifiez les activités réseau suspectes perpétrées par des acteurs malveillants connus.
  • Générateur de règles intuitif : Définissez de nouveaux modèles d'attaque avec le générateur de règles facile à utiliser, qui fournit une liste par catégorie d'actions réseau et vous permet de les glisser-déplacer dans l'ordre de votre choix.
  • Filtres basés sur les champs : Définissez des contraintes sur les champs des journaux aux fins d’un contrôle affiné sur les modèles d'attaque définis.
  • Alertes instantanées : Configurez des notifications par e-mail ou SMS de manière à être immédiatement alerté chaque fois que le système détecte un modèle suspect.
  • Gestion des règles : Activez, désactivez, supprimez ou modifiez les règles et leurs notifications à partir d'une seule page.
  • Sélecteur de colonne : Contrôlez les informations affichées dans chaque rapport en sélectionnant les colonnes nécessaires et en les renommant selon les besoins.
  • Rapports planifiés : Configurez des planifications pour générer et distribuer les rapports de corrélation dont vous avez besoin.
  •  

working-with-correlation-reports-video-icon

Créez des règles de corrélation personnalisées grâce à une interface intuitive.

Avec l'interface de générateur de règles d’EventLog Analyzer, ce logiciel de corrélation d'événements facilite le processus de création de nouveaux modèles d'attaque :

  • Définissez de nouveaux modèles d'attaque à l’aide de plus d'une centaine d'événements réseau.
  • Glissez-déposez les règles pour réorganiser les actions qui composent un modèle ainsi que leur ordre.
  • Restreignez certaines valeurs de champ de journal à l'aide de filtres.
  • Spécifiez des valeurs seuils pour le déclenchement des alertes, par exemple le nombre de fois qu'un événement doit se produire ou l'intervalle de temps entre les événements.
  • Ajoutez un nom, une catégorie et une description à chaque règle.
  • Modifiez les règles existantes afin d’affiner vos alertes. Si vous remarquez qu'une règle spécifique génère trop de faux positifs ou ne parvient pas à identifier une attaque, vous pouvez facilement ajuster la définition de la règle si nécessaire.

suspicious-service-installations-video-icon

Empêchez les attaques grâce à la corrélation d’événements

Les règles de corrélation prédéfinies d’EventLog Analyzer vous aident à détecter divers indicateurs d'attaque. La détection d’un logiciel malveillant potentiel masqué sous forme de services d'arrière-plan dans votre réseau en est un exemple. Regardez la vidéo pour comprendre comment EventLog Analyzer vous aide à détecter les logiciels suspects installés.

Autres fonctionnalités

SIEM

EventLog Analyzer offre des capacités de gestion des journaux, de monitoring d'intégrité de fichier et de corrélation d'événements en temps réel dans une console unique qui contribuent à répondre aux besoins de SIEM, à combattre les atteintes à la sécurité et à empêcher les violations de données.

Gestion de la conformité informatique

Conformez-vous aux exigences rigoureuses des mandats réglementaires, à savoir PCI DSS, FISMA, HIPAA, etc., avec des rapports et des alertes prédéfinis. Personnalisez les rapports existants ou créez de nouveaux rapports pour répondre aux besoins de sécurité interne.

Monitoring d'intégrité de fichier

Surveillez les modifications critiques apportées aux fichiers/dossiers confidentiels à l'aide d'alertes en temps réel. Obtenez des informations détaillées telles que « qui a effectué la modification, qu’est-ce qui a été modifié, quand et d'où ' avec des rapports prédéfinis.

Collecte des journaux

Collectez de façon centralisée les données des journaux depuis les serveurs ou les stations de travail Windows, les serveurs Linux/Unix, les périphériques réseau, à savoir les routeurs, les commutateurs et les pare-feu, et les applications utilisant des méthodes sans agent ou basées sur agent.

Analyse des journaux

Effectuez des examens approfondis pour retracer les attaques et identifier la cause première des incidents. Enregistrez les requêtes de recherche sous forme de profil d'alerte afin d'atténuer les menaces futures.

Gestion de Syslog

Collectez et analysez les données Syslog des routeurs, commutateurs, pare-feu, identifiants/adresses IP, serveurs Linux/Unix, etc. Obtenez des rapports approfondis pour chaque événement de sécurité. Recevez des alertes en temps réel en cas d'anomalies et de dépassements.

Need Features? Tell Us
If you want to see additional features implemented in EventLog Analyzer, we would love to hear. Click here to continue