# Découverte de modèles d’attaque complexes par la corrélation des journaux d’événements ## Découverte de modèles d’attaque complexes par la corrélation des journaux d’événements Les journaux sont le fil d’Ariane de l’activité réseau et contiennent des détails précis sur toutes les opérations des utilisateurs et du système dans le réseau. L’analyse de base des journaux aide à trier facilement des millions de lignes de journal, repérer celles qui indiquent une activité suspecte et identifier celles anormales qui ne correspondent pas à l’activité réseau habituelle. Souvent, un journal pris isolément peut sembler tout à fait normal mais, examiné avec une série d’autres journaux connexes, il peut révéler un modèle d’attaque. Les solutions SIEM, qui collectent des données d’événement de diverses sources dans le réseau, détectent les incidents suspects au sein de l’environnement. Dans [EventLog Analyzer](https://www.manageengine.com/fr/eventlog/) le moteur de corrélation détecte des séries de journaux, provenant des appareils du réseau, qui révèlent de possibles attaques et avertit rapidement de la menace. L’adoption de solides moyens d’analyse et de corrélation des journaux d’événements aide à prendre des mesures proactives contre les attaques du réseau. ## Corrélation de journaux avec EventLog Analyzer Le puissant moteur de corrélation d’événements d’EventLog Analyzer identifie efficacement des modèles d’attaque définis dans les journaux. Son module de corrélation offre plusieurs fonctions utiles, notamment : - **Règles prédéfinies :** utilisez plus de 30 règles de corrélation SIEM prédéfinies qu’intègre le produit. - **Tableau de bord général :** parcourez le tableau de bord de corrélation convivial, qui offre des rapports détaillés pour chaque type d’attaque ainsi qu’un rapport récapitulatif de toutes les attaques détectées, facilitant une analyse précise. - **Aperçu chronologique :** affichez un diagramme contenant la série chronologique des journaux pour chaque modèle d’attaque identifié. - **Détection des menaces :** identifiez une activité réseau suspecte menée par des acteurs malveillants connus. - **Générateur de règles intuitif :** définissez de nouveaux modèles d’attaque avec cette fonction pratique, qui fournit une liste par catégorie des opérations réseau et permet de les faire glisser et les déplacer dans l’ordre souhaité. - **Filtres basés sur des champs :** définissez des contraintes de champs de journal pour un contrôle affiné des types d’attaque définis. - **Alertes instantanées :** configurez des notifications par courrier ou SMS pour être immédiatement averti lorsque le système détecte un modèle suspect. - **Gestion des règles :** activez, désactivez, supprimez ou modifiez des règles et leurs notifications dans le même écran. - **Sélecteur de colonnes :** contrôlez le contenu qu’affiche chaque rapport en choisissant les colonnes requises et les renommant, au besoin. - **Rapports planifiés :** établissez des calendriers pour générer et diffuser les rapports de corrélation requis. ## Création de règles de corrélation personnalisées via une interface intuitive L’interface d’EventLog Analyzer facilite la création de modèles d’attaque : - Définissez de nouveaux modèles d’attaque avec plus d’une centaine d’événements réseau. - Faites glisser et déplacez des règles pour réorganiser les actions qui composent un modèle et leur ordre. - Limitez certaines valeurs de champ de journal avec des filtres. - Indiquez les valeurs de seuil pour déclencher des alertes, comme le nombre d’occurrences d’un événement ou la période entre des événements. - Ajoutez un nom, une catégorie et une description pour chaque règle. - Modifiez des règles existantes pour affiner les alertes. Si vous notez qu’une règle donnée génère trop de faux positifs ou ne parvient pas à détecter une attaque, vous pouvez facilement modifier la définition de cette règle selon vos besoins. ## Rapports de corrélation d’événements EventLog Analyzer offre des rapports de corrélation prédéfinis qui couvrent plusieurs types d’attaque bien connus, comme : - **Menaces de compte d’utilisateur :** protégez les comptes d’utilisateur contre la compromission en vérifiant les modèles d’activité suspecte, comme les tentatives de force brute ou de modification de mots de passe et les échecs de connexion. - **Menaces de serveur Web :** analysez le trafic Web entrant pour déceler des tentatives de piratage, comme des requêtes URL malveillantes ou des injections SQL. - **Menaces de base de données :** évitez les violations de données en détectant une activité anormale des bases de données, comme une suppression en masse ou une sauvegarde non autorisée. - **Ransomware :** détectez les risques de type ransomware en vérifiant si un même processus effectue plusieurs modifications de fichier. - **Menaces à l’intégrité des fichiers :** protégez les fichiers et les dossiers sensibles contre une tentative d’accès ou de modification non autorisée avec des rapports sur l’activité suspecte. - **Menaces Windows et Unix :** identifiez l’activité anormale des systèmes Windows et Unix comme la présence de ver, l’installation de malware, les tentatives de modification de registre non autorisée, l’exécution de commande sudo imprévue, etc. - **Menaces liées aux cryptomonnaies :** protégez les ressources du réseau contre l’usage pour un cryptominage non autorisé en vérifiant des pics anormaux de la température d’une machine ou de l’utilisation du CPU. ### Rapports disponibles Lancement de logiciel de portefeuille de cryptomonnaie | Lancement de logiciel d’extraction de cryptomonnaie | Cryptominage : utilisation élevée prolongée du CPU | Cryptominage : alertes de température de machine élevée | Nouveaux systèmes ajoutés au réseau | Activité de sauvegarde SQL suspecte | Service suspect installé | Installation de logiciel suspect | Redémarrages de service Syslog | Échecs répétés de commandes SUDO | Arrêts imprévus | Blocages de compte notables | Journaux d’événements effacés | Échecs répétés de sauvegarde Windows | Excès d’incidents d’application | Risque d’activité de ver | Modifications répétées de stratégie d’audit système | Échecs répétés d’entrée de registre | Échecs d’accès aux fichiers | Modifications répétées de stratégie d’audit des objets | Modifications répétées d’autorisations de fichiers | Excès de suppression de fichiers | Accès suspect aux fichiers | Risque d’activité de ransomware | Détections de ransomware | Tentatives répétées d’injection SQL dans base de données | Suppression de plusieurs tables | Tentatives d’injection SQL répétées | Demandes d’URL malveillantes | Modifications de compte d’utilisateur anormales | Excès d’échecs de modification de mot de passe | Excès d’échecs de connexion | Force brute ## Prévenir les attaques grâce à la corrélation d’événements Les règles de corrélation prédéfinies permettent de détecter divers indices d’attaque. Par exemple, on peut détecter un malware qui se dissimule sous forme de services d’arrière-plan dans le réseau. ## Autres fonctionnalités ### SIEM EventLog Analyzer allie la gestion des journaux, le contrôle d’intégrité des fichiers et la corrélation d’événements en temps réel dans une seule console. Ainsi, vous répondez mieux aux exigences SIEM tout en prévenant les attaques de sécurité et les violations de données. ### Gestion de la conformité informatique Respectez les exigences réglementaires les plus strictes (par exemple, PCI DSS, FISMA, HIPAA, etc.) avec des rapports prédéfinis et des alertes. Personnalisez les rapports existants ou créez-en pour satisfaire les besoins de sécurité interne. ### Contrôle d’intégrité des fichiers Surveillez les modifications sensibles des fichiers/dossiers confidentiels avec des alertes en temps réel. Obtenez des détails comme l’auteur de la modification, son objet, sa date et son origine avec des rapports prédéfinis. ### Collecte des journaux Collectez de manière centralisée les données de journal des serveurs ou postes de travail Windows, des serveurs Linux/Unix, des périphériques réseau, des routeurs, des commutateurs, des pare-feux et des applications via une méthode avec ou sans agent. ### Analyse des journaux Analysez les données de journal de diverses sources à travers le réseau. Détectez les anomalies, suivez les événements de sécurité critiques et surveillez le comportement des utilisateurs avec des rapports prédéfinis, des tableaux de bord intuitifs et des alertes instantanées. ### Analyse forensique des journaux Effectuez une analyse forensique détaillée pour retracer les attaques et identifier la cause racine des incidents. Enregistrez les requêtes de recherche sous forme de profil d’alerte pour prévenir les menaces futures. ### Besoins fonctionnels ? Parlons-en. Si vous souhaitez voir d’autres fonctionnalités intégrées à EventLog Analyzer, n’hésitez pas à nous en faire part. [Cliquez ici pour continuer](https://www.manageengine.com/fr/eventlog/support.html)