Les journaux sont le fil d’Ariane de l’activité réseau et contiennent des détails précis sur toutes les opérations des utilisateurs et du système dans le réseau. L’analyse de base des journaux aide à trier facilement des millions de lignes de journal, repérer celles qui indiquent une activité suspecte et identifier celles anormales qui ne correspondent pas à l’activité réseau habituelle.
Souvent, un journal pris isolément peut sembler tout à fait normal mais, examiné avec une série d’autres journaux connexes, il peut révéler un modèle d’attaque. Les solutions SIEM, qui collectent des données d’événement de diverses sources dans le réseau, détectent les incidents suspects au sein de l’environnement.
Dans EventLog Analyzer le moteur de corrélation détecte des séries de journaux, provenant des appareils du réseau, qui révèlent de possibles attaques et avertit rapidement de la menace. L’adoption de solides moyens d’analyse et de corrélation des journaux d’événements aide à prendre des mesures proactives contre les attaques du réseau.
Le puissant moteur de corrélation d’événements d’EventLog Analyzer identifie efficacement des modèles d’attaque définis dans les journaux. Son module de corrélation offre plusieurs fonctions utiles, notamment :
L’interface d’EventLog Analyzer facilite la création de modèles d’attaque :
EventLog Analyzer offre des rapports de corrélation prédéfinis qui couvrent plusieurs types d’attaque bien connus, comme :
Lancement de logiciel de portefeuille de cryptomonnaie | Lancement de logiciel d’extraction de cryptomonnaie | Cryptominage : utilisation élevée prolongée du CPU | Cryptominage : alertes de température de machine élevée | Nouveaux systèmes ajoutés au réseau | Activité de sauvegarde SQL suspecte | Service suspect installé | Installation de logiciel suspect | Redémarrages de service Syslog | Échecs répétés de commandes SUDO | Arrêts imprévus | Blocages de compte notables | Journaux d’événements effacés | Échecs répétés de sauvegarde Windows | Excès d’incidents d’application | Risque d’activité de ver | Modifications répétées de stratégie d’audit système | Échecs répétés d’entrée de registre | Échecs d’accès aux fichiers | Modifications répétées de stratégie d’audit des objets | Modifications répétées d’autorisations de fichiers | Excès de suppression de fichiers | Accès suspect aux fichiers | Risque d’activité de ransomware | Détections de ransomware | Tentatives répétées d’injection SQL dans base de données | Suppression de plusieurs tables | Tentatives d’injection SQL répétées | Demandes d’URL malveillantes | Modifications de compte d’utilisateur anormales | Excès d’échecs de modification de mot de passe | Excès d’échecs de connexion | Force brute
Les règles de corrélation prédéfinies permettent de détecter divers indices d’attaque. Par exemple, on peut détecter un malware qui se dissimule sous forme de services d’arrière-plan dans le réseau. Regardez la vidéo pour comprendre comment EventLog Analyzer permet de détecter l’installation d’un programme suspect.
EventLog Analyzer allie la gestion des journaux, le contrôle d’intégrité des fichiers et la corrélation d’événements en temps réel dans une seule console. Ainsi, vous répondez mieux aux exigences SIEM tout en prévenant les attaques de sécurité et les violations de données.
Respectez les exigences réglementaires les plus strictes (par exemple, PCI DSS, FISMA, HIPAA, etc.) avec des rapports prédéfinis et des alertes. Personnalisez les rapports existants ou créez-en pour satisfaire les besoins de sécurité interne.
Surveillez les modifications sensibles des fichiers/dossiers confidentiels avec des alertes en temps réel. Obtenez des détails comme l’auteur de la modification, son objet, sa date et son origine avec des rapports prédéfinis.
Collectez de manière centralisée les données de journal des serveurs ou postes de travail Windows, des serveurs Linux/Unix, des périphériques réseau, des routeurs, des commutateurs, des pare-feux et des applications via une méthode avec ou sans agent.
Analysez les données de journal de diverses sources à travers le réseau. Détectez les anomalies, suivez les événements de sécurité critiques et surveillez le comportement des utilisateurs avec des rapports prédéfinis, des tableaux de bord intuitifs et des alertes instantanées.
Effectuez une analyse forensique détaillée pour retracer les attaques et identifier la cause racine des incidents. Enregistrez les requêtes de recherche sous forme de profil d’alerte pour prévenir les menaces futures.
Si vous souhaitez voir d’autres fonctionnalités intégrées à EventLog Analyzer, n’hésitez pas à nous en faire part. Cliquez ici pour continuer