Détection d’anomalies avec des groupes de référence dynamique

Fort de groupes de référence dynamique,
Log360 permet de créer une solide stratégie de sécurité.

Télécharger
Télécharger
 
 
 
 
 
 
Détecté

En quoi consiste les groupes de référence dynamique ?

Les groupes de référence dynamique sont une fonction de l’analyse comportementale qui renforce les outils de détection d’anomalies et de notation des risques d’une solution SIEM. Le processus consiste à regrouper les utilisateurs d’un réseau selon leur comportement et à établir une base pour le groupe. Cette base sert ensuite de référence pour détecter les anomalies.

En bref, les groupes de référence dynamique offrent un contexte aux événements des utilisateurs du réseau, aidant à détecter plus précisément les menaces.

Création de groupes de référence dynamique dans Log360

Log360 crée des groupes de référence pour chacun des rapports du module UEBA. Ces groupes reposent sur l’heure, le nombre et le modèle des événements. Tout événement d’un utilisateur est évalué selon les groupes dont il relève et le score de risque UEBA modifié en conséquence. Si le score dépasse un seuil fixé, une alerte de haut risque est émise.

Avantages d’intégrer des groupes de référence dynamique à son analyse UEBA

  • Détection d’anomalies plus précise.
  • Réduction du nombre de faux positifs.
  • Mises à jour régulières des groupes pour tenir compte de changements graduels de comportement des utilisateurs.
Dynamic-peer-grouping-img1.png

Examinons les groupes de référence dynamique en action.

Un utilisateur, Jean, se connecte entre 10 et 10 h 15, ce qui diverge de son heure habituelle entre 8 et 8 h 15.

Le module UEBA de Log360 le désigne comme une anomalie et génère un score de risque élevé.

Dynamic-peer-grouping-img2.png

Les groupes de référence dynamique entrent alors en jeu.

Comme l’équipe se connecte normalement à peu près au même moment, Jean appartient à un groupe avec d’autres membres de l’équipe. Si l’on considère cet événement anormal en rapport avec l’heure de connexion des autres membres du groupe de référence, la probabilité d’une menace s’atténue. Dans de tels cas, des algorithmes ML réduisent le score de risque.

Dynamic-peer-grouping-img3.png

Dans un autre cas, Marie se connecte entre 10 et 10 h 15, ce qui diverge de son heure habituelle entre 8 et 8 h 15.

Le module UEBA de Log360 le désigne aussi comme une anomalie et génère un score de risque en conséquence. Si ce comportement ne correspond pas au groupe de référence de l’utilisateur, le score de risque de l’événement augmente davantage pour produire une alerte.

Dynamic-peer-grouping-img4.png

Voici comment fonctionnent les groupes de référence dynamique dans Log360. Ils aident à détecter précisément les anomalies de comportement des utilisateurs dans le réseau en temps réel. Cela ouvre la voie à un système de lutte contre les menaces fiable et efficace.

Accueil

Distinctions et récompenses

ManageEngine figure dans le MQ 2024 de Gartner sur le SIEM Solution SIEM préférée des clients dans le rapport Gartner Peer Insights

  Editor's choice  
  7ème présence dans le MQ en 2024  
  Acteur majeur en 2024  
  Innovateur de sécurité cloud intégrée  
  Excellence technique en SIEM  
  Leader du marché le plus novateur