Odkryj złożone wzorce ataków za pomocą korelacji dziennika zdarzeń
EventLog Analyzer »

Odkryj złożone wzorce ataków za pomocą korelacji dziennika zdarzeń

Dzienniki są okruchami aktywności sieciowej i zawierają szczegółowe informacje na temat wszystkich aktywności użytkowników i systemu w sieci. Podstawowa analiza dzienników pomaga w łatwy sposób sortować miliony dzienników i wybierać dzienniki, które wskazują na podejrzaną aktywność, jak również identyfikować anomalie, które nie są zgodne z normalną aktywnością sieciową.

event-correlaton-video-icon

Często przeglądany pojedynczy dziennik sam w sobie może wydawać się całkowicie normalny, ale gdy połączy się go z grupą innych powiązanych dzienników, może powstać wzorzec potencjalnego ataku. Rozwiązania SIEM, które gromadzą dane o zdarzeniach z różnych źródeł w sieci, mogą wykrywać wszelkie podejrzane incydenty w środowisku użytkownika.

Mechanizm korelacji dziennika EventLog Analyzer wykrywa sekwencje dzienników pochodzących z urządzeń w całej sieci, które wskazują możliwe ataki, i szybko ostrzega o zagrożeniu. Budowanie silnej korelacji i możliwości analizy dziennika zdarzeń pozwalają na podjęcie aktywnych kroków przeciwko atakom sieciowym.

working-with-correlation reports-video-icon

Korelacja dziennika za pomocą EventLog Analyzer

Wydajny mechanizm korelacji zdarzeń EventLog Analyzer skutecznie identyfikuje zdefiniowane wzorce ataków w dziennikach. Moduł korelacji zawiera wiele przydatnych funkcji:

  • Wstępnie zdefiniowane reguły: Wykorzystaj ponad 30 wstępnie zdefiniowanych reguł korelacji SIEM, które są dołączone do produktu.
  • Pulpit nawigacyjny przeglądu: Łatwy w użyciu pulpit nawigacyjny korelacji, który zawiera szczegółowe raporty dotyczące każdego wzorca ataku, jak również przegląd wszystkich wykrytych ataków, ułatwiający wnikliwą analizę.
  • Widok osi czasu: Zobacz wykres osi czasu pokazujący chronologiczną sekwencję dzienników dla każdego zidentyfikowanego wzorca ataku.
  • Wykrywanie zagrożeń: Zidentyfikuj podejrzaną aktywność sieciową znanego złośliwego podmiotu.
  • Intuicyjny kreator reguł: Zdefiniuj nowe wzorce ataków za pomocą łatwego w użyciu kreatora reguł, który dostarcza kategoryczną listę akcji sieciowych i pozwala na przeciąganie i upuszczanie ich w żądanej kolejności.
  • Filtry oparte na polach: Ustaw ograniczenia w polach dziennika w celu precyzyjnej kontroli nad zdefiniowanymi wzorcami ataków.
  • Natychmiastowe alerty: Skonfiguruj powiadomienia e-mail lub SMS, aby natychmiast otrzymywać alerty, gdy system wykryje podejrzany wzorzec.
  • Zarządzanie regułami: Włączanie, wyłączanie, usuwanie lub edycja reguł i ich powiadomień z poziomu jednej strony.
  • Selektor kolumn: Kontroluj informacje wyświetlane w każdym raporcie, wybierając potrzebne kolumny i zmieniając ich nazwy w zależności od potrzeb.
  • Zaplanowane raporty: Skonfiguruj harmonogramy generowania i dystrybucji potrzebnych raportów korelacji.

working-with-correlation-reports-video-icon

Twórz własne reguły korelacji za pomocą intuicyjnego interfejsu

Interfejs kreatora reguł EventLog Analyzer w tym oprogramowaniu do korelacji zdarzeń ułatwia proces tworzenia nowych wzorców ataków:

  • Zdefiniuj nowe wzorce ataków przy użyciu ponad stu zdarzeń sieciowych.
  • Przeciągnij i upuść reguły, aby zmienić kolejność akcji, które składają się na wzorzec i w jakiej kolejności.
  • Ogranicz pewne wartości pól dziennika za pomocą filtrów.
  • Określ wartości progowe wyzwalania alertów, np. ile razy musi wystąpić zdarzenie lub przedział czasowy między zdarzeniami.
  • Dodaj nazwę, kategorię i opis dla każdej reguły.
  • Edytuj istniejące reguły, aby dostosować alerty. Jeśli zauważysz, że określona reguła generuje zbyt wiele fałszywych alertów lub nie pozwala na identyfikację ataku, możesz łatwo dostosować definicję reguły do potrzeb.

suspicious-service-installations-video-icon

Zapobiegaj atakom w ramach korelacji zdarzeń

Wstępnie zdefiniowane reguły korelacji EventLog Analyzer pomagają wykryć różne wskaźniki ataku. Jednym z takich przykładów jest wykrycie potencjalnego złośliwego oprogramowania ukrywającego się jako usługi w tle w sieci. Obejrzyj film, aby zrozumieć, w jaki sposób EventLog Analyzer pomaga wykryć podejrzane oprogramowanie, które jest instalowane.

Inne funkcje

SIEM

EventLog Analyzer pozwala na zarządzanie dziennikami, monitorowanie integralności plików i korelację zdarzeń w czasie rzeczywistym w ramach jednej konsoli, pomagając spełnić potrzeby w zakresie SIEM, zwalczać ataki i zapobiegać naruszeniom danych.

Zarządzanie zgodnością IT

Zachowaj zgodność z rygorystycznymi wymaganiami przepisów prawa, takimi jak PCI DSS, FISMA, HIPAA i innymi za pomocą wstępnie zdefiniowanych raportów oraz alertów. Dostosuj istniejące raporty lub twórz nowe raporty, aby sprostać wewnętrznym wymaganiom w zakresie bezpieczeństwa.

Monitorowanie integralności plików

Monitoruj krytyczne zmiany w poufnych plikach / folderach za pomocą alertów w czasie rzeczywistym. Uzyskaj szczegółowe informacje, takie jak „kto dokonał zmiany, co zostało zmienione, kiedy i skąd” za pomocą wstępnie zdefiniowanych raportów.

Zbieranie dzienników

Centralnie zbieraj dane dzienników z serwerów lub stacji roboczych z systemem Windows, serwerów Linux/Unix, urządzeń sieciowych, takich jak routery, przełączniki, zapory i aplikacje, korzystając z metod bez użycia agenta lub opartych na agencie.

Analiza Logów

Analizuj dane dziennika ze źródeł w sieci. Wykrywanie anomalii, śledzenie krytycznych zdarzeń bezpieczeństwa i monitorowanie zachowań użytkowników za pomocą predefiniowanych raportów, intuicyjnych pulpitów nawigacyjnych i natychmiastowych alertów.

Analiza kryminalistyczna dziennika

Przeprowadź dogłębną analizę kryminalistyczną w celu odtworzenia ataków i zidentyfikowania głównej przyczyny incydentów. Zapisuj zapytania wyszukiwania jako profil alertu, aby zapobiegać przyszłym zagrożeniom.

Potrzebujesz dodatkowych funkcji? Poinformuj nas
Chętnie wysłuchamy, jakie dodatkowe funkcje powinniśmy wdrożyć w EventLog Analyzer. Kliknij tutaj, aby kontynuować