Corrélation contextuelle

La sécurité informatique est un processus continuel. Les pirates emploient de nouvelles méthodes d’attaque pour violer les données privilégiées, obligeant les équipes de sécurité à suivre l’évolution des menaces et des tendances de sécurité pour prévenir toute activité suspecte des utilisateurs. Heureusement, les outils SIEM permettent d’analyser les journaux d’événements provenant des divers terminaux et ressources, aidant à mieux comprendre les menaces et leurs origines. Les équipes de sécurité peuvent ainsi identifier et éliminer les angles morts et les lacunes de sécurité, et prendre les mesures nécessaires pour renforcer la protection avant une violation.

ManageEngine PAM360 intègre des fonctionnalités SIEM pour alimenter régulièrement des outils de gestion des journaux en données sur l’accès privilégié. Les outils SIEM analysent ensuite ces informations et les corrèlent à d’autres données d’événement provenant de toute l’entreprise pour détecter l’activité suspecte et établir une veille utile. Les DSI prennent ainsi des décisions de sécurité éclairées pour éviter les violations et l’abus de privilèges.

Fonctionnement de l’intégration

PAM360 s’intègre aux outils SIEM, comme ManageEngine EventLog Analyzer, Splunk, Sumo Logic et d’autres collecteurs Syslog, pour regrouper et traiter les journaux d’événements issus des sessions et ressources privilégiées.

Cette intégration permet de générer des interruptions SNMP ou des messages Syslog en cas d’activité anormale dans l’infrastructure informatique. On peut envoyer ces interruptions SNMP ou messages Syslog à une solution SIEM tierce, qui offre une analyse détaillée et une corrélation des données d’événement que fournit PAM360. Les données corrélées réalimentent ensuite la console PAM360, les tableaux de bord interactifs de l’onglet Analyse avancée affichant l’information voulue sur les événements.

 

L’intégration de PAM360 aux outils SIEM tiers permet de collecter et corréler en temps réel les données sur l’activité des utilisateurs, les ressources et les menaces pour identifier à tout moment les acteurs malveillants. En outre, l’intégration fournit aux équipes de sécurité un contexte et une analyse plus poussés quant à la distribution, l’imbrication et l’accès des comptes privilégiés à travers l’organisation, renforçant le niveau de sécurité de la stratégie de protection. La DSI peut ainsi focaliser son attention sur l’analyse de la cause première des incidents de sécurité et atténuer les menaces en planifiant des mesures correctives et préventives essentielles.

Voici certains avantages majeurs de cette intégration :

• Affichage d’un aperçu global de l’activité des utilisateurs dans une console centrale.
• Corrélation des événements signalés par PAM360 à ceux que génèrent d’autres applications et appareils pour une veille concrète sur la cause première des événements de sécurité.
• Détection d’anomalies en examinant et comparant des données d’événement en temps réel et historiques.
• Création d’une base de connaissances fiable contenant des détails précis sur les anomalies issues d’événements passés pour prévoir des mesures correctives adéquates, permettant de prévenir les menaces internes et l’abus de ressources privilégiées.