# Outil de repérage des cybermenaces | ManageEngine Log360

## Outil de repérage des menaces

Détectez et bloquez les menaces avant leur aggravation grâce à l’analyse comportementale de Log360, la détection conforme MITRE ATT&CK® et la veille sur les menaces, le tout dans une console unique.

## Ce que permet Log360

- Traquez les menaces de façon proactive en corrélant des IoC, comme les [adresses IP malveillantes](https://www.manageengine.com/fr/log-management/external-security-threats.html?source=threat-hunting-software), les domaines, les URL et les hachages de fichiers, avec les données de journal et d’événement pour déceler les attaques cachées.
- Évaluez votre état de sécurité par rapport au [cadre MITRE ATT&CK](https://www.manageengine.com/fr/log-management/cyber-security/what-is-the-mitre-attack-framework.html?source=threat-hunting-software) avec plus de 2 000 règles de détection fournies dans le cloud.
- Détectez les [menaces internes](https://www.manageengine.com/fr/log-management/insider-threat-detection-software.html?source=threat-hunting-software) avec l’UEBA qui signale les connexions inhabituelles, l’abus de privilèges et les anomalies d’accès aux données.
- Grâce au réglage granulaire des règles et la hiérarchisation des anomalies, Log360 aide à cibler les alertes importantes, réduisant ainsi la surcharge.
- Réduisez le bruit avec le filtrage au niveau objet, les exceptions de règles précises et les seuils à ML.

## Recherche d’indicateurs dans tout l’environnement

Un repérage des menaces efficace requiert la capacité de rechercher, d’analyser et de corréler les journaux collectés dans tout l’environnement informatique. Log360 permet aux équipes [SOC](https://www.manageengine.com/fr/log-management/siem/streamlining-soc-with-log360.html?source=threat-hunting-software) de détecter les modèles suspects, déceler les indicateurs de compromission (IoC) et suivre les menaces cachées des terminaux, des serveurs, des périphériques réseau et des plateformes cloud, le tout dans la même console unifiée.

- **Couverture complète des menaces :** détectez les comportements répétés ou les séries d’événements suspects en corrélant les données des systèmes, décelant les chaînes d’attaque complexes et les tentatives de mouvement latéral.
- **Examen contextuel riche :** interrogez les journaux historiques et dynamiques de tous les éléments (domaines AD, terminaux, pare-feux, bases de données et applications cloud) pour détecter l’activité anormale pouvant indiquer une compromission.
- **Filtrage avancé et pivotement :** affinez les recherches par utilisateur, appareil, adresse IP, type d’événement, fichier ou période pour identifier les événements pertinents, éliminer le bruit et accélérer la validation des menaces.
- **Exportation et rapports :** générez des rapports détaillés et utiles et exportez les résultats de recherche pour l’audit, l’examen, le contrôle de conformité ou la collaboration avec d’autres équipes de sécurité.

![Threat hunting solution](https://www.manageengine.com/log-management/images/threat-hunting-software-s1.png)

## Repérage basé sur les IoC avec la veille sur les menaces intégrée

Log360 aide à repérer de façon proactive les menaces via des IOC, comme les adresses IP, les domaines, les URL et les hachages de fichiers suspects. Cet aperçu des IoC provient de flux de menaces externes, mais également des données de journal collectées en interne, comme les échecs de connexion répétés, les modifications de fichier anormales et les connexions sortantes suspectes. On peut ainsi corréler, valider et détecter les menaces avec plus de précision.

### Moyens d’enrichissement de la veille :

- **Intégration de flux de menaces :** associez les événements internes à des flux de menaces externes provenant de sources comme [Webroot](https://www.manageengine.com/fr/log-management/integrations-and-partnerships/webroot.html?source=threat-hunting-software), VirusTotal, [AlienVault OTX](https://www.manageengine.com/fr/log-management/integrations-and-partnerships/alienvault-otx.html?source=threat-hunting-software), et Constella Intelligence pour un suivi global des nouvelles menaces. Détectez les attaques avant leur aggravation via des IOC, comme les adresses IP ou les hachages de fichiers illicites.
- **Détection des IoC dans les données historiques :** isolez l’activité malveillante à partir d’événements passés en analysant les journaux historiques pour détecter les IoC connus entre les utilisateurs, les terminaux et les appareils, ce qui aide à découvrir les menaces qui peuvent rester inaperçues.
- **Corrélation entre les sources :** reliez les IoC décelés aux processus, aux utilisateurs et au trafic réseau associés pour une analyse contextuelle complète.
- **Alertes automatiques :** recevez une notification instantanée lorsque des IoC sont détectés, pour accélérer le confinement et la [réponse aux incidents](https://www.manageengine.com/fr/eventlog/automated-incident-response-workflows.html?source=threat-hunting-software).

![IoC-based hunting with integrated threat intelligence](https://www.manageengine.com/log-management/images/threat-hunting-software-s2.png)

## Repérage des menaces basé sur les anomalies via l’UEBA

Toutes les menaces n’ont pas de signatures connues ou d’IOC. Le repérage des menaces basé sur les anomalies utilise l’UEBA pour détecter l’activité suspecte qui s’écarte des modèles de comportement normal. Log360 aide à découvrir les menaces internes, les comptes compromis et les nouvelles menaces persistantes avancées (APT) avant leur aggravation.

- **Références comportementales :** le système apprend et met à jour constamment les références pour chaque utilisateur, appareil et compte. Cela permet d’isoler de légers écarts qui peuvent indiquer une activité malveillante, comme des heures de connexion anormales, une utilisation d’application inhabituelle ou un accès imprévu aux données.
- **Détection avancée des anomalies :** l’activité inhabituelle est signalée, comme les tentatives d’exfiltration de données, l’élévation de privilèges, le mouvement latéral, l’exécution de processus suspects et l’accès anormal aux fichiers.
- **Notation du risque :** des notes de risque sont affectées aux utilisateurs et aux événements selon la gravité des anomalies, ce qui aide les analystes SOC à cibler les menaces prioritaires.
- **Enrichissement de la veille sur les menaces :** les anomalies comportementales sont recoupées avec les flux de menaces externes et les données IoC internes, comme les adresses IP, les domaines ou les hachages de fichiers suspects observés dans l’environnement, pour fournir une validation contextuelle et réduire les faux positifs.

![Anomaly-based threat hunting with UEBA](https://www.manageengine.com/log-management/images/threat-hunting-software-s3.png)

## Examen des menaces rationalisé avec la console d’incidents

L’examen des alertes de plusieurs systèmes peut être complexe et chronophage. La console d’incidents de Log360 regroupe les journaux, les alertes et l’activité des utilisateurs dans une interface unique et contextuelle, ce qui permet de reconstituer les chemins d’attaque et réagir efficacement.

- **Suivi complet :** identifiez rapidement l’utilisateur, l’appareil ou l’adresse IP impliqué grâce à un suivi complet de l’activité qui offre un aperçu global du comportement suspect.
- **Chronologie d’attaque interactive :** affichez la série d’événements, de l’accès initial à l’impact final, pour mieux comprendre comment les attaques se déroulent et identifier les points faibles.
- **Workflows de réponse automatique :** exécutez des listes de tâches SOAR, isolez les terminaux compromis ou désactivez des comptes directement de la console d’incidents pour confiner immédiatement les menaces.
- **Analyse à moteur IA avec Zia :** exploitez l’IA pour détecter les acteurs malveillants, corréler les modèles, associer les attaques aux tactiques MITRE ATT&CK et générer des recommandations de correction viables.
- **[Corrélation MITRE ATT&CK](https://www.manageengine.com/fr/log-management/cyber-security/what-is-the-mitre-attack-framework.html?source=threat-hunting-software) :** associez automatiquement les événements détectés et les alertes à des tactiques et techniques utilisées par les attaquants, en fournissant aux analystes SOC le contexte nécessaire pour comprendre leur comportement et prévoir des réponses précises et ciblées.

![Streamlined threat investigation with Incident Workbench](https://www.manageengine.com/log-management/images/threat-hunting-software-s4.png)

## Découvrir les menaces cachées avant leurs effets : principaux cas d’usage expliqués

### Détection du mouvement latéral

Une fois dans le réseau, un attaquant se déplace souvent latéralement pour étendre l’accès, élever les privilèges ou accéder à des ressources clés.

**Cas d’usage :** un compte d’utilisateur de domaine compromis commence à accéder à plusieurs serveurs de fichiers et partages administratifs en très peu de temps, indiquant de possibles tentatives de vol d’identifiants ou d’élévation de privilèges.

#### Comment Log360 le détecte :

- Il relie les événements de connexion des terminaux pour identifier les modèles d’accès anormaux et les échecs de connexion.
- Il surveille l’activité inhabituelle des comptes, comme un non-administrateur accédant à des systèmes privilégiés.
- Il déclenche des alertes en cas de trafic SMB suspect ou d’emploi d’outils de gestion à distance comme PsExec et WMI.

### Identification des attaques C2

Les pirates utilisent souvent un accès persistant via des canaux C2 (commande et contrôle) cachés pour exfiltrer des données ou envoyer des commandes à des systèmes compromis.

**Cas d’usage :** un terminal se connecte à plusieurs reprises à une adresse IP externe via des requêtes DNS irrégulières, laissant supposer un schéma de communication avec un serveur C2.

#### Comment Log360 le détecte :

- Analyse les journaux DNS et proxy pour identifier des connexions sortantes anormales ou répétitives.
- Détecte les communications avec des adresses IP ou des domaines malveillants connus grâce aux flux de veille sur les menaces.
- Signale les anomalies de volume ou de temporisation du trafic réseau indiquant un éventuel beaconing.

### Détection des tentatives de vidage d’identifiants

Le vidage d’identifiants est une technique de post-exploitation courante consistant à extraire les identifiants stockés de la mémoire ou de fichiers locaux pour se déplacer latéralement dans le réseau et élever les privilèges. Il faut détecter tôt ce type de comportement pour éviter une compromission complète du réseau.

**Cas d’usage :** un processus système commence à appeler des outils comme Mimikatz ou accéder à la mémoire du service LSASS (Local Security Authority Subsystem Service), signalant une tentative de vidage d’identifiants.

#### Comment Log360 le détecte :

- Surveille les journaux de création de processus pour détecter des outils de vidage d’identifiants suspects ou connus.
- Suit l’accès non autorisé aux processus Windows sensibles ou aux ruches du Registre.
- Corrèle les élévations de privilèges et les échecs de connexion pour confirmer les abus d’identifiants.

### Détection d’attaques par force brute et pulvérisation de mots de passe

Les attaquants utilisent souvent des techniques de force brute ou pulvérisation de mots de passe pour obtenir un accès non autorisé aux comptes. Contrairement à la force brute classique, la pulvérisation de mots de passe cible plusieurs comptes avec quelques mots de passe courants pour éviter les verrouillages.

**Cas d’usage :** plusieurs échecs de connexion de différents comptes d’utilisateur sont détectés en très peu de temps et sont suivis d’une connexion réussie de la même adresse IP source.

#### Comment Log360 le détecte :

- Corrèle les journaux d’authentification entre systèmes pour identifier des échecs de connexion répétés provenant d’une même source.
- Détecte des tentatives de connexion anormales en dehors des heures ouvrables.
- Signale les schémas suspects où des échecs de connexion sont suivis d’une connexion réussie, indiquant une possible compromission.

## En savoir plus sur Log360

### Veille sur les menaces

Améliorez le repérage grâce à une veille sur les menaces exploitable. Log360 intègre des flux de menaces mondiaux pour enrichir les données de journal avec des adresses IP, des domaines et des hachages de fichiers malveillants connus, aidant à détecter plus rapidement les IoC et les relier à l’activité en temps réel du réseau.

En savoir plus : https://www.manageengine.com/fr/log-management/threat-intelligence.html?source=threat-hunting-software

### Réponse automatique aux incidents

Grâce à des règles de corrélation prédéfinies, Log360 peut identifier les modèles d’attaque et prendre des mesures automatiques, aidant à réagir vite aux incidents et réduire les dommages éventuels.

### Détection avancée des menaces

Log360 surveille constamment les connexions, les autorisations et l’accès aux données sur le réseau pour détecter l’activité suspecte en temps réel. L’UEBA sert à établir des bases de référence pour les utilisateurs et les appareils, signalant instantanément les anomalies qui révèlent des menaces internes ou des comptes compromis.

En savoir plus : https://www.manageengine.com/fr/log-management/threat-detection.html?source=threat-hunting-software

### Gestion de la conformité intégrée

Log360 simplifie la conformité avec des rapports automatiques pour diverses normes (PCI DSS, RGPD, [CCPA](https://www.manageengine.com/fr/eventlog/ccpa-compliance-solution.html?source=threat-hunting-software), HIPAA et [SOX](https://www.manageengine.com/fr/eventlog/sox-compliance-reports.html?source=threat-hunting-software)) tout en garantissant un archivage de journaux sûr et inviolable pour la conservation à long terme et la préparation à l’audit.

## Questions fréquentes

### 1. Qu’est-ce qu’un outil de repérage des menaces ?

Un outil de repérage des menaces est un outil de cybersécurité qui recherche de manière proactive les menaces cachées, les anomalies et les comportements des attaquants qui échappent aux défenses classiques. Il fonctionne en analysant les journaux, le trafic réseau et l’activité des utilisateurs pour détecter les modèles suspects, utilisant souvent une veille sur les menaces et une correspondance MITRE ATT&CK pour une détection des menaces et une réponse plus rapides.

### 2. Pourquoi l’entreprise a-t-elle besoin d’un outil de repérage des menaces ?

L’entreprise a besoin d’un tel outil pour détecter de manière proactive les cyberattaques furtives comme les menaces internes ou persistantes avancées qui échappent souvent aux systèmes classiques basés sur des signatures. En analysant constamment les modèles comportementaux, corrélant les anomalies et utilisant une veille sur les menaces, l’outil aide les équipes de sécurité à détecter tôt les attaques sophistiquées, réduire le temps de latence et prévenir les violations avant qu’elles ne s’aggravent.

### 3. Quel est un exemple de repérage des menaces ?

Un exemple de repérage des menaces consiste pour un analyste de sécurité à examiner une activité de connexion inhabituelle sur plusieurs terminaux. Au lieu d’attendre une alerte, il utilise des requêtes de recherche pour identifier des modèles comme la connexion de nouvelles localisations, l’accès d’utilisateurs en dehors des heures ouvrables ou l’élévation de privilèges. Cela peut révéler les tentatives de force brute, des comptes compromis et les abus commis en interne. Log360 permet aux équipes de sécurité d’automatiser le processus de repérage des menaces grâce à des bases de référence et une détection des anomalies axée sur l’UEBA pour signaler les écarts à des fins d’examen poussé.

### 4. Quels sont les quatre types de menaces ?

Les quatre principaux types de menaces de cybersécurité sont :

- **Malware :** comprend les virus, le ransomware, les vers et les logiciels espions qui infiltrent les systèmes pour voler ou altérer les données.
- **Phishing et ingénierie sociale :** techniques trompeuses visant à inciter les utilisateurs à divulguer des données sensibles ou des identifiants.
- **[Menaces internes](https://www.manageengine.com/fr/log-management/insider-threat-detection-software.html?source=threat-hunting-software) :** actes malveillants ou négligents commis par des employés ou des sous-traitants ayant déjà accès aux systèmes.
- **Menaces persistantes avancées (APT) :** attaques sophistiquées durables où des attaquants se faufilent dans un réseau pour dérober des données ou perturber les opérations.

Un outil de repérage des menaces comme Log360 s’avère particulièrement efficace contre les attaques difficiles à détecter avec les moyens classiques, comme les menaces internes et celles persistantes avancées.

### 5. Quelles fonctions doit offrir un outil de repérage des menaces ?

Les meilleurs outils de repérage des menaces doivent allier des fonctions de recherche avancée, d’analyse comportementale, d’intégration à des flux de veille sur les menaces, de correspondance MITRE ATT&CK et de workflows d’examen automatique. Des fonctions comme la détection des anomalies, la corrélation en temps réel et les tableaux de bord visuels aident les équipes de sécurité à identifier les menaces plus rapidement et rationaliser l’analyse.