Откройте для себя сложные шаблоны атак с помощью корреляции журнала событий

Откройте для себя сложные шаблоны атак с помощью корреляции журнала событий

Журналы представляют собой своего рода "следы" активности в сети и содержат подробную информацию обо всех действиях пользователей и систем в сети. Базовый анализ журналов позволяет с легкостью сортировать миллионы журналов и выбирать журналы, указывающие на подозрительную активность, а также выявлять аномальные журналы, которые не соответствуют нормальной сетевой активности.

Зачастую отдельный журнал, просматриваемый сам по себе, может показаться совершенно обычным, но при просмотре вместе с группой других связанных журналов он может сформировать потенциальную схему атаки. Решения SIEM, которые собирают данные о событиях из различных источников в сети, могут обнаружить любые подозрительные инциденты в вашей среде.

Механизм корреляции журналов EventLog Analyzer обнаруживает последовательности журналов, поступающих с устройств во всей сети, которые указывают на возможные атаки, и быстро оповещает вас об угрозе. Создание эффективных возможностей корреляции и анализа журналов событий позволит вам начать принимать упреждающие меры против сетевых атак.

Корреляция журналов с EventLog Analyzer

Мощный механизм корреляции событий EventLog Analyzer эффективно выявляет определенные шаблоны атак в журналах. Его модуль корреляции предлагает множество полезных функций, включая:

• Предварительно заданные правила. Используйте более 30 предварительно заданных правил корреляции SIEM в составе продукта.
• Информационная панель для обзора. Воспользуйтесь простой в использовании информационной панелью корреляции, на которой представлены подробные отчеты по каждому шаблону атак, а также обзорный отчет обо всех обнаруженных атаках, что упрощает углубленный анализ.
• Представление хронологии. Просматривайте временную диаграмму, показывающую хронологическую последовательность журналов для каждого выявленного шаблона атаки.
• Обнаружение угроз. Выявляйте подозрительную сетевую активность, совершаемую известными злоумышленниками.
• Интуитивно понятный конструктор правил. Определите новые шаблоны атак с помощью простого в использовании конструктора правил, который предоставляет категориальный список сетевых действий, где их можно перетаскивать в желаемом порядке.
• Фильтры на основе полей. Установите ограничения на поля журнала для точного контроля над определенными шаблонами атак.
• Мгновенные оповещения. Настройте уведомления по электронной почте или SMS, чтобы сразу получать уведомления, когда система обнаружит что-то подозрительное.
• Управление правилами. Включайте, отключайте, удаляйте или редактируйте правила и их уведомления на одной странице.
• Выбор столбцов. Управляйте информацией, отображаемой в каждом отчете, выбирая необходимые столбцы и переименовывая их по мере необходимости.
• Запланированные отчеты. Создавайте графики для создания и распространения необходимых отчетов о корреляции.

Создавайте собственные правила корреляции с помощью интуитивно понятного интерфейса

Благодаря интерфейсу конструктора правил EventLog Analyzer это программное обеспечение для корреляции событий упрощает процесс создания новых шаблонов атак:

• Определите новые шаблоны атак, используя более ста сетевых событий.
• Перетаскивайте правила, чтобы изменить порядок действий, входящих в шаблон.
• Ограничьте определенные значения полей журнала с помощью фильтров.
• Укажите пороговые значения для срабатывания оповещений, например, сколько раз должно произойти событие или временной интервал между событиями.
• Добавьте название, категорию и описание для каждого правила.
• Отредактируйте существующие правила, чтобы точнее настроить оповещения. Если вы заметили, что определенное правило генерирует слишком много ложных срабатываний или не может идентифицировать атаку, можно с легкостью скорректировать определение правила при необходимости.

Отчеты о корреляции событий

EventLog Analyzer поставляется с предварительно заданными отчетами о корреляции, которые охватывают несколько известных типов атак, таких как:

• Угрозы для учетной записи пользователя. Защитите учетные записи пользователей от компрометации, проверяя их на наличие подозрительных шаблонов активности, таких как попытки подбора пароля, неудачные попытки входа в систему или смены пароля и многое другое.
• Угрозы для веб-сервера. Анализируйте входящий веб-трафик на предмет попыток взлома, таких как вредоносные URL-запросы или внедрение SQL-кода.
• Угрозы для баз данных. Предотвращайте утечки данных, выявляя аномальную активность в базах данных, например массовое удаление данных или несанкционированное резервное копирование.
• Программы-вымогатели. Выявляйте действия, подобные действиям программ-вымогателей, путем проверки наличия множественных изменений файлов, выполняемых одним и тем же процессом.
• Угрозы целостности файлов. Защитите важные файлы и папки от несанкционированного доступа или изменения с помощью отчетов о подозрительных изменениях прав доступа к файлам и попытках доступа к файлам.
• Угрозы для систем Windows и Unix. Выявляйте аномальную активность в системах Windows и Unix, такую как потенциальная активность червей, установка вредоносного ПО, попытки несанкционированного изменения реестра, неожиданное выполнение команд sudo и многое другое.
• Угрозы, связанные с криптовалютой. Защитите сетевые ресурсы от использования для несанкционированного майнинга криптовалют, проверяя аномальные скачки температуры устройства или загрузки процессора.

Сопутствующая инфографика. Обнаруживайте несанкционированный майнинг криптовалют или криптоджекинг с помощью EventLog Analyzer.

Доступные отчеты

Запуск ПО для криптовалютного кошелька | Запуск ПО для майнинга криптовалют | Майнинг криптовалют: Высокая загрузка процессора в течение длительного времени | Майнинг криптовалют: Оповещения о высокой температуре компьютера | Добавление в сеть новых систем | Подозрительная активность резервного копирования SQL | Установка подозрительной службы | Установка подозрительного ПО | Перезапуск службы Syslog | Повторные неудачные команды SUDO | Неожиданные завершения работы | Значительные блокировки учетных записей | Очистка журналов событий | Повторные сбои резервного копирования Windows | Чрезмерное количество сбоев приложений | Возможная активность червей | Несколько изменений политики аудита системы | Повторные сбои записи в реестре | Неудачные попытки доступа к файлам | Повторные изменения политики аудита объектов | Несколько изменений прав доступа к файлам | Избыточное удаление файлов | Подозрительный доступ к файлам | Возможная активность программ-вымогателей | Обнаружение программ-вымогателей | Повторные попытки внедрения SQL-кода в базу данных | Несколько удаленных таблиц | Повторные попытки внедрения SQL-кода | Вредоносные URL-запросы | Аномальное изменение учетной записи пользователя | Чрезмерные ошибки смены пароля | Чрезмерные ошибки входа в систему | Подбор пароля

Предотвращайте атаки с помощью корреляции событий

Предварительно заданные правила корреляции EventLog Analyzer помогают обнаружить различные индикаторы атак. Одним из таких примеров является обнаружение потенциально вредоносных программ, скрывающихся под видом фоновых служб в сети. Посмотрите видео, чтобы понять, как EventLog Analyzer помогает обнаружить установку подозрительного программного обеспечения.