Ogni organizzazione ha bisogno di un piano di rilevamento delle minacce e di risposta agli incidenti rapido ed efficace per contrastare le numerose minacce presenti nell'odierno panorama della cybersecurity. Log360, la soluzione SIEM di ManageEngine con funzionalità DLP e CASB integrate, rileva le minacce in tutta la rete aziendale, coprendo endpoint, firewall, server web, database, switch, router e persino origini cloud.

Scopri di seguito come Log360 esegue i tre principali tipi di rilevamento delle minacce: rilevamento delle minacce per gli eventi di sicurezza, rilevamento delle minacce di rete e rilevamento delle minacce per gli endpoint.

Rilevamento delle minacce per gli eventi di sicurezza

Eventi quali l'autenticazione, l'accesso alla rete e altri errori e avvisi critici sono definiti eventi di sicurezza. Le minacce che possono essere rilevate tramite questi eventi sono classificate come minacce agli eventi di sicurezza. Alcuni esempi di minacce agli eventi di sicurezza includono attacchi di forza bruta, uso improprio dei privilegi ed escalation dei privilegi.

In che modo Log360 rileva le minacce agli eventi di sicurezza

  • Monitoraggio degli utenti privilegiati: controlla gli accessi, le disconnessioni e l'accesso alle risorse degli utenti privilegiati. Individua attività insolite degli utenti e minacce basate sull'utente utilizzando l'analisi del comportamento di utenti ed entità basata sull'apprendimento automatico.
  • Rilevamento dell'escalation dei privilegi: monitora le attività degli utenti e rileva l'escalation dei privilegi e i tentativi di abuso dei privilegi utilizzando l'implementazione della tecnica MITRE ATT&CK basata su firma.
  • Monitoraggio degli errori di autenticazione: indaga sugli errori di autenticazione sospetti sui sistemi critici utilizzando la dashboard di analisi della sicurezza e la sequenza temporale degli incidenti, rileva e previene la forza bruta o i tentativi di accesso alla rete non autorizzati.
  • Rilevamento dell'accesso non autorizzato ai dati: monitora l'accesso ai database e ai dati sensibili sui file server. Ottieni visibilità sull'accesso non autorizzato ai dati tramite il monitoraggio dell'integrità dei file e delle colonne e il monitoraggio dell'integrità delle colonne.
Rilevamento delle minacce per gli eventi di sicurezza
Rilevamento delle minacce di rete

Rilevamento delle minacce di rete

Le minacce di rete sono tentativi di intrusione non autorizzati nella rete da parte di un avversario per esfiltrare dati sensibili o interrompere il funzionamento e la struttura della rete. Alcuni esempi di minacce di rete includono DoS, propagazione di malware, minacce persistenti avanzate, esfiltrazione dei dati, l'introduzione di dispositivi non autorizzati e altro ancora. Per rilevare queste minacce, è necessario comprendere e monitorare il traffico di rete.

In che modo Log360 è d'aiuto

  • Monitoraggio del traffico: monitora il traffico di rete per verificare la presenza di connessioni insolite, consentite e negate. Ottieni informazioni dettagliate sull'attività delle porte per rilevare l'utilizzo sospetto delle porte.
  • Controllo delle modifiche: monitora i criteri del firewall per rilevare le modifiche apportate dagli avversari per gestire il traffico dannoso.
  • Intelligence sulle minacce aggiornata automaticamente: rileva e blocca il traffico dannoso in entrata e in uscita utilizzando feed delle minacce aggiornati dinamicamente. Individua indirizzi IP e URL dannosi nel traffico di rete e bloccali immediatamente.
  • Rilevamento di dispositivi non autorizzati: individua i dispositivi non autorizzati con Search Console e terminali utilizzando i flussi di lavoro di risposta agli incidenti.
Guarda in che modo Log360 rileva il traffico dannoso

Rilevamento delle minacce negli endpoint

Le minacce spesso hanno origine negli endpoint. Un esempio è il ransomware, che vede enormi profitti anno dopo anno, bloccando gli endpoint e chiedendo un riscatto per l'accesso. Altre minacce ne gli endpoint includono comportamenti insoliti dell'utente, malfunzionamenti del dispositivo, configurazioni errate e download sospetti. Queste perdite e danni possono essere ampiamente limitati con l'aiuto di un intervento tempestivo, possibile con la tecnologia di rilevamento e risposta alle minacce degli endpoint.

In che modo Log360 è d'aiuto

  • Rilevamento ransomware: individua più ceppi di ransomware e quelli generici attraverso regole di correlazione predefinite e notifiche in tempo reale.
  • Rilevamento anomalie: rileva comportamenti insoliti di utenti ed entità utilizzando algoritmi di apprendimento automatico.
  • Rilevamento malware: identifica le installazioni di software dannose e sospette su computer Windows e Linux.
  • Log360 si integra con la soluzione di gestione degli endpoint di ManageEngine, Endpoint Central, ampliando la copertura della superficie di attacco per un rilevamento efficace delle minacce. Clicca qui per saperne di più.
Rilevamento delle minacce negli endpoint

Perché prendere in considerazione Log360 per il rilevamento delle minacce?

 

  • Rilevamento degli incidenti in tempo reale

    Rilevamento degli incidenti in tempo reale con gestione degli incidenti integrata e supporto per strumenti di ticketing di terze parti.

  • Modulo UEBA basato su apprendimento automatico

    Modulo UEBA basato su apprendimento automatico che rileva le anomalie e facilita gli avvisi basati sul punteggio di rischio.

  • Dashboard di sicurezza per il monitoraggio degli eventi

    Dashboard di sicurezza per il monitoraggio degli eventi per le origini di registri locali e cloud in tutta la rete.

Domande frequenti

1. Che cos'è il rilevamento e la risposta alle minacce?

Il rilevamento e la risposta alle minacce (TDR: threat detection and response) si riferisce al processo di identificazione e neutralizzazione delle minacce dannose presenti all'interno dell'infrastruttura IT. Implica il monitoraggio, l'analisi e l'azione proattivi per mitigare i rischi e proteggere da accessi non autorizzati, attività dannose e violazioni dei dati prima che causino potenziali danni alla rete dell'organizzazione. Il rilevamento delle minacce utilizza strumenti di sicurezza automatici come IDS, IPS, firewall, soluzioni di protezione degli endpoint e soluzioni SIEM per raggiungere questo obiettivo.

Il rilevamento delle minacce è fondamentale per rilevare e rispondere alle minacce non appena si verificano, al fine di contrastare malware, ransomware e altri attacchi informatici che potrebbero danneggiare i dati chiave e interrompere le operazioni aziendali.

2. Qual è la differenza tra rilevamento delle minacce, prevenzione delle minacce e intelligence sulle minacce?

  •  Rilevamento delle minacce: il rilevamento delle minacce è un approccio reattivo grazie al quale hai già ricevuto avvisi sulle attività sospette o sulle minacce alla sicurezza presenti nella tua rete che attaccano endpoint, dispositivi, reti e sistemi.
  •  Prevenzione delle minacce: la prevenzione delle minacce è un approccio proattivo in cui tenti di proteggere i dati dell'organizzazione da una violazione identificando e contrastando le minacce alla sicurezza prima che entrino.
  •  Intelligence sulle minacce: l'intelligence sulle minacce fornisce informazioni preziose sulle minacce emergenti, sugli indicatori di compromissione, sui profili degli attori delle minacce e sui metodi di attacco, aiutandoti a comprendere e prepararti in modo proattivo alle minacce.
Log360 »