Identification de modèles d’attaque complexes par la corrélation des journaux d’événements

Les journaux sont le fil d’Ariane de l’activité réseau et contiennent des détails précis sur toutes les opérations des utilisateurs et du système dans le réseau. Une analyse de base permet de trier facilement des millions de journaux et de choisir ceux qui indiquent une activité suspecte, ou d’identifier des journaux anormaux ne correspondant pas à l’activité habituelle du réseau.

EventLog Analyzer offre un moteur de corrélation des journaux pour déceler des séries de données (provenant des appareils à travers le réseau) qui indiquent d’éventuelles attaques et avertit rapidement sur la menace. Disposer de solides outils de corrélation des journaux d’événements et d’analyse permet de prendre des mesures proactives contre les attaques réseau.

• Règles prédéfinies : utilisez plus de 30 règles de corrélation SIEM prédéfinies qu’intègre le produit.
• Tableau de bord global : parcourez le tableau de bord pratique qui propose des rapports détaillés pour chaque modèle d’attaque et un aperçu de toutes les attaques identifiées, ce qui facilite une analyse précise.
• Affichage chronologique : affichez un diagramme contenant la série chronologique des journaux pour chaque modèle d’attaque identifié.
• Détection de menaces : identifiez une activité réseau suspecte effectuée par des acteurs malveillants connus.
• Créateur de règle intuitif : définissez de nouveaux modèles d’attaque avec cette fonction pratique, qui fournit une liste par catégorie des actions réseau et permet de les faire glisser et les déplacer dans l’ordre souhaité.
• Filtres basés sur des champs : définissez des contraintes de champs de journal pour un contrôle affiné sur les modèles d’attaque définis.
• Alertes instantanées : établissez des notifications par courrier ou SMS pour être averti immédiatement lorsque le système détecte un modèle suspect.
• Gestion des règles : activez, désactivez, supprimez ou modifiez des règles et leurs notifications dans une même fenêtre.
• Sélecteur de colonnes : contrôlez l’information affichée dans chaque rapport en choisissant les colonnes requises et en les renommant, le cas échéant.
• Rapports planifiés : établissez des calendriers pour générer et diffuser les rapports de corrélation requis.

• Définissez de nouveaux modèles d’attaque avec plus d’une centaine d’événements réseau.
• Faites glisser et déplacez des règles pour réorganiser les actions formant un modèle et leur ordre.
• Limitez certaines valeurs de champ de journal avec des filtres.
• Indiquez des seuils pour déclencher des alertes, comme le nombre d’occurrences d’un événement ou le délai entre des événements.
• Ajoutez un nom, une catégorie et une description pour chaque règle.
• Modifiez des règles existantes pour affiner les alertes. Si vous notez qu’une règle donnée génère trop de faux positifs ou n’identifie pas bien une attaque, ajustez facilement sa définition selon le besoin.

Rapports de corrélation d'événements

EventLog Analyzer offre des rapports de corrélation prédéfinis qui couvrent plusieurs types d’attaques bien connus, comme :

• Menaces de compte d’utilisateur : évitez que les comptes d’utilisateur ne soient compromis en vérifiant des modèles d’activité suspecte, comme des tentatives de force brute ou de modification de mots de passe ou des échecs de connexion.
• Menaces de serveur Web : analysez le trafic Web entrant pour déceler des tentatives de piratage, comme des requêtes URL malveillantes ou des injections SQL.
• Menaces de base de données : évitez les violations de données en détectant une activité anormale des bases de données, comme une suppression en masse ou une sauvegarde non autorisée.
• Rançongiciel : détectez les risques de type rançongiciel en vérifiant si un même processus effectue plusieurs modifications de fichier.
• Menaces d’intégrité de fichier : protégez les fichiers et les dossiers sensibles contre une tentative d’accès ou de modification non autorisée avec des rapports sur les activités suspectes.
• Menaces Windows et Unix : identifiez une activité anormale des systèmes Windows et Unix comme la présence éventuelle d’un ver, des installations de programme malveillant, des tentatives de modification de registre non autorisées ou des exécutions de la commande sudo imprévues.
• Menaces liées aux crypto-monnaies : protégez les ressources du réseau contre un usage pour un crypto-minage non autorisé en vérifiant des pics anormaux de la température d’une machine ou de l’utilisation du processeur.

Rapports disponibles  

Cryptocurrency wallet software started | Cryptocurrency mining software started | Cryptomining: High CPU usage for a long time | Cryptomining: High machine temperature alerts | New systems added in network | Suspicious SQL backup activity | Suspicious service installed | Suspicious software installation | Syslog service restarts | Repeated failed SUDO commands | Unexpected shutdowns | Notable account lockouts | Event logs cleared | Windows backup repeated failures | Excessive application crashes | Possible worm activity | Multiple system audit policy changes | Repeated registry entry failures | Failed file access attempts | Repeated object audit policy changes | Multiple file permission changes | Excessive file removal | Suspicious file access | Possible ransomware activities | Ransomware detections | Repeated SQL injection attempts in DB | Multiple tables dropped | Repeated SQL injection attempts | Malicious URL requests | Anomalous user account change | Excessive password change failure | Excessive logon failures | Brute force

Need Features? Tell Us
If you want to see additional features implemented in EventLog Analyzer, we would love to hear. Click here to continue