En établissant des références pour les modèles de connexion normaux comme l’heure, le lieu et l’appareil, Log360 détecte le comportement d’accès inhabituel comme l’activité en dehors des heures de travail, les déplacements impossibles ou les échecs de connexion répétés. Les comparaisons de groupes d’homologues et la notation des risques aident à distinguer les requêtes légitimes des tentatives de force brute. Log360 signale les modifications de mot de passe suspectes entre Windows, les postes de travail et Microsoft SQL Server, y compris les réinitialisations de comptes sensibles comme l’administrateur DSRM (Directory Services Restore Mode). L’outil souligne aussi les échecs de connexion trop fréquents, les verrouillages de compte et les longues périodes sans réinitialisation du mot de passe dans Microsoft 365.
Détection des anomalies de données dans Log360
Détectez l’activité anormale des utilisateurs, des systèmes et des applications en temps réel. Log360 allie l’apprentissage automatique (ML), l’analyse comportementale et la notation des risques d’entité pour révéler les écarts, réduire les faux positifs et aider les équipes de sécurité à répondre rapidement aux nouvelles menaces.
Comment Log360 détecte les anomalies
Dans Log360, la détection des anomalies repose sur plusieurs méthodes qui, combinées, signalent les écarts significatifs :
Règles dans le cloud : les règles de détection sont gérées et mises à jour en permanence pour identifier des anomalies bien documentées. Ces règles couvrent le lancement de processus suspect, l’abus de privilèges, l’activité d’origine interne, etc.
Références comportementales : chaque utilisateur, appareil et application est constamment surveillé pour établir un profil de normalité. Lorsque l’activité diverge (par exemple, un utilisateur télécharge beaucoup plus de données que d’habitude), elle est signalée comme anormale.
Notation des risques d’entité : les écarts sont évalués par rapport au contexte de l’entité. Une exécution de processus inhabituelle sur un contrôleur de domaine importe plus que le même événement sur une machine de test.
Analyse basée sur des modèles : au-delà des anomalies ponctuelles, Log360 modélise les écarts temporels et séquentiels pour détecter les attaques en plusieurs phases qui se déroulent sur plusieurs jours ou semaines.
- Suivi des anomalies centralisé
- Réglage précis pour réduire les faux positifs
- Examen et réponse en temps réel
Suivi des anomalies centralisé
Un tableau de bord unifié recense les anomalies de tout l’environnement informatique. Cela permet aux analystes de :
- Afficher les anomalies regroupées par entité, anomalie ou note de risque.
- Corréler les nouveaux écarts avec l’activité historique pour savoir si le comportement relève d’un modèle plus général.
- Associer les anomalies aux tactiques et techniques MITRE ATT&CK® pour orienter l’examen.
- Analyser les données de journal brutes pour chaque anomalie à des fins de clarté.
Réglage précis pour réduire les faux positifs
Les faux positifs submergent les analystes. Log360 offre plusieurs mécanismes de réglage pour assurer la pertinence des alertes d’anomalie :
- Filtrage au niveau objet : on peut exclure les processus courants ou les tâches planifiées de la détection, évitant les alertes inutiles.
- Seuils adaptatifs : les seuils à ML s’ajustent automatiquement à mesure que les modèles d’utilisation évoluent, les alertes restant pertinentes sans mise à jour manuelle constante.
- Analyse de groupes d’homologues : les entités sont comparées à leurs homologues. Un pic de connexions d’un administrateur système n’est pas traité comme s’il s’agissait d’un sous-traitant temporaire.
- Conseils d’optimisation des règles : Log360 souligne les règles qui déclenchent souvent des alertes d’anomalie bénignes, proposant des améliorations.
Examen et réponse en temps réel
La détection des anomalies n’est utile que si les équipes peuvent agir rapidement. Log360 simplifie le processus de la détection des menaces à la réponse :
- Alertes contextuelles : chaque alerte d’anomalie inclut les notes de risque, les entités liées, l’activité antérieure et les données de journal brutes pour vérification. Les analystes n’ont pas besoin de passer d’un outil à l’autre pour obtenir un aperçu.
- Chronologie des anomalies : Log360 crée des vues chronologiques des événements liés, permettant de savoir facilement si une anomalie est isolée ou relève d’une chaîne d’attaque plus large.
- Mesures correctives automatiques : les workflows prédéfinis servent à désactiver immédiatement les comptes suspects, arrêter les processus malveillants ou bloquer les adresses IP lorsque les anomalies atteignent un certain niveau de risque.
- Escalades et intégrations : on peut transmettre les alertes d’anomalie aux outils ITSM comme ServiceNow et Jira ou les transférer à des workflows SOC pour une gestion des incidents affinée.
- Aide à l’examen : les recommandations basées sur l’IA et les tactiques et techniques MITRE ATT&CK aident les analystes à prendre les mesures requises, ce qui réduit les conjectures manuelles et accélère la résolution des problèmes.
Principaux cas d’usage de la détection des anomalies
L’élévation de privilèges inhabituelle ou l’utilisation anormale de comptes à privilèges élevés est immédiatement signalée. Si un utilisateur obtient soudainement des droits d’administrateur ou accède à des systèmes ne relevant pas de son rôle, Log360 signale l’écart et le priorise via la notation des risques d’entité. Cela inclut les suppressions de groupe ou GPO non autorisées, les modifications de GPO en dehors des heures de bureau et l’accès suspect au registre Windows. Cela couvre également les modifications de stratégie d’accès conditionnel dans Microsoft 365 et de règles non approuvées pour les pare-feux et les plateformes SaaS de fournisseurs comme Sophos, Fortinet et SonicWall.
Les pirates informatiques abusent souvent des outils système. Les règles de Log360 détectent l’utilisation de commandes rares ou obscurcies et l’activité suspecte de processus enfant, comme PowerShell qui génère des processus inhabituels ou Regsvr32 qui s’exécute avec des options inhabituelles. L’outil surveille aussi l’exécution de commandes privilégiées sur les appareils Unix, IIS FTP, Microsoft SQL Server et Check Point, les échecs ou les tâches planifiées créées en dehors des heures de travail étant traités comme des signes de persistance ou de reconnaissance.
Les pics de téléchargements, de transferts de fichiers ou de chargements vers des applications cloud non approuvées sont détectés par comparaison avec les bases de référence établies. Les analystes reçoivent des alertes avec une notation des risques pour déterminer si l’activité reste normale ou s’il s’agit d’une possible violation. Les autres signaux incluent des modifications ou suppressions de fichier Windows trop nombreuses, une hausse anormale des suppressions de fichier Microsoft 365, des transferts de données en masse dans Salesforce et une activité de messagerie inhabituelle, comme de grands nombres de messages envoyés au même destinataire.
Les menaces à évolution lente sont découvertes en reliant les anomalies au fil du temps, comme des modèles de connexion inhabituels conjugués à une exécution de processus rares ou un accès anormal aux fichiers. Cette corrélation révèle des campagnes qui sinon resteraient inaperçues. Par exemple, les modifications de paramètres utilisateur Salesforce, les intégrations d’application après les heures de bureau, les modifications non autorisées de pare-feu ou de stratégie et l’accès inhabituel à des boîte aux lettres Microsoft 365 révèlent un abus commis en interne ou une activité d’attaque persistante.
En savoir plusEn savoir plus sur Log360
Examen des menaces
Utilisez la console d’incidents de Log360 pour examiner les alertes de sécurité, corréler les événements et suivre les chemins d’attaque. Cette console d’analyse offre un aperçu unifié des entités clés comme les utilisateurs, les processus et les sources de menaces, permettant d’identifier rapidement la cause racine des incidents.
En savoir plusRapports de conformité
Générez des rapports d’audit pour des normes comme ISO/IEC 27001, le RGPD, PCI DSS et HIPAA. Les modèles de rapports personnalisés rendent la collecte des preuves plus rapide et fiable.
En savoir plus-
Nous voulions nous assurer, d’une part, de pouvoir répondre aux différentes exigences de sécurité que nos clients attendent de nous et, d’autre part, d’améliorer notre sécurité pour renforcer notre dispositif de sécurité.
Carter Ledyard
-
Les options d’exploration et les tableaux de bord visuels rendent l’examen des menaces beaucoup plus rapide et facile. C’est une solution vraiment conviviale.
Sundaram Business Services
-
Log360 aide à détecter les menaces internes, les modèles de connexion inhabituels, l’élévation de privilèges et les tentatives d’exfiltration de données en temps réel.
CIO, Northtown Automotive Companies
-
Avant Log360, nous ne disposions pas d’un aperçu global de toute notre infrastructure. Désormais, nous pouvons rapidement détecter les menaces et y répondre avant leur aggravation. Log360 s’avère précieux pour améliorer notre réponse aux incidents et garantir le respect des normes d’audit. C’est une véritable révolution pour notre équipe.
ECSO 911
Fill this form to schedule a
personalized web demo
Votre demande de démonstration a été soumise avec succès. Nos techniciens de support vous contacteront dans les plus brefs délais.
Questions fréquentes
Il s’agit du processus consistant à identifier des modèles d’activité inhabituels comme les connexions, les processus ou les mouvements de données qui s’écartent des références établies et peuvent indiquer un comportement malveillant.
Log360 utilise plusieurs techniques de détection pour identifier avec précision les menaces de sécurité. La détection statique basée sur des règles recherche des modèles d’attaque prédéfinis comme plusieurs échecs de connexion ou des modifications de privilèges. La détection basée sur la corrélation relie les événements des systèmes pour découvrir les attaques en plusieurs étapes pouvant échapper à une simple alerte. La détection des anomalies va plus loin en apprenant le comportement normal de chaque utilisateur, appareil et application, puis signalant l’activité qui s’écarte des références. Ces méthodes combinées aident à détecter les menaces connues et inconnues en temps réel.
La solution ingère les journaux des serveurs, des applications et des périphériques réseau. Cette large portée aide à corréler l’activité des utilisateurs avec le comportement des entités pour une détection précise des anomalies.
Oui. Les menaces internes sont difficiles à détecter, car elles impliquent souvent des comptes d’utilisateur légitimes effectuant des opérations préjudiciables. Le moteur de détection des anomalies de Log360 identifie les écarts comportementaux subtils, comme les transferts de données inhabituels, l’élévation de privilèges ou l’activité de connexion en dehors des heures de travail normales, que les alertes statiques peuvent ignorer. En établissant des bases de référence pour chaque utilisateur et comparant l’activité en temps réel à celles-ci, Log360 aide à détecter rapidement les abus et limiter les dommages.
Découvrir à quoi ressemble la normalité et ce qui s’en écarte
Établissez des bases de référence pour l’activité des utilisateurs et du système, détectez instantanément les anomalies et protégez l’environnement.
