- Ключевые основные моменты
- Все возможности
- Управление журналами
- Управление журналами приложений
- Аудит соответствия требованиям в ИТ
- Мониторинг безопасности
- Мониторинг сетевых устройств
- Отчеты о мониторинге системы и пользователей
- Связанные продукты
- Log360 (On-Premise | Cloud) Интегрированная служба SIEM с расширенной аналитикой угроз и анализом поведения пользователей и объектов (UEBA) на базе машинного обучения
- ADManager Plus Управление и отчетность Active Directory, Microsoft 365 и Exchange
- ADAudit Plus Аудит изменений Active Directory, файлов и серверов Windows в режиме реального времени
- ADSelfService Plus Самообслуживание паролей, многофакторная проверка подлинности (MFA) конечных устройств, условный доступ и корпоративный единый вход (SSO)
- DataSecurity Plus Аудит файлов, предотвращение утечки данных и оценка связанных с данными рисков
- Exchange Reporter Plus Отчетность, аудит и мониторинг для гибридной службы Exchange и Skype
- M365 Manager Plus Управление, отчетность и аудит для Microsoft 365
- RecoveryManager Plus Резервное копирование и восстановление для Active Directory, Microsoft 365 и Exchange
- SharePoint Manager Plus Отчетность и аудит SharePoint
- AD360 Управление удостоверениями и доступом работников для гибридных экосистем
Устройства на базе Windows являются наиболее популярным выбором в большинстве корпоративных сетей. Чтобы справиться с терабайтами данных журналов событий, которые генерируют эти устройства, администраторам безопасности необходимо использовать мощный инструмент управления журналами, такой как EventLog Analyzer, который может обеспечить сквозное управление журналами событий Windows, автоматизируя такие процессы, как сбор, обработка, анализ, сопоставление и архивирование журналов.
Узнайте, как EventLog Analyzer управляет журналами событий
Сбор журналов событий
Важной функцией инструмента управления журналами событий является сбор журналов изо всех возможных источников. Возможности EventLog Analyzer по сбору журналов событий являются исключительными и поддерживают сбор журналов как без агентов, так и с использованием агентов.
-
Сбор журналов событий без использования агента
Этот метод предполагает сбор журналов событий с использованием собственных механизмов устройств Windows. EventLog Analyzer может взаимодействовать с устройствами Windows в сети и собирать журналы событий с помощью таких механизмов, как WMI, DCOM и RPC.
-
Сбор журналов событий с использованием агента
Для ситуаций, когда собственные механизмы невозможно использовать, EventLog Analyzer предлагает агент сбора журналов событий. Этот агент необходимо установить в источнике журналов для связи с сервером EventLog Analyzer и доставки журналов событий на него.
Фильтры журналов событий
В большинстве журналов событий, создаваемых в сети, отражаются повседневные действия. Это создает две проблемы:
- Поиск журналов событий, предоставляющих информацию о безопасности
- Обеспечение необходимого дискового пространства для сохранения всех собранных журналов событий
Для решения этих проблем EventLog Analyzer предоставляет фильтры журналов событий, которые можно использовать для сортировки собранных журналов и поиска тех, которые представляют важность с точки зрения безопасности. Эти настраиваемые фильтры основаны на источнике журнала событий, пользователе или компонентах журнала. Все журналы событий можно автоматически архивировать для дальнейшего использования с помощью EventLog Analyzer.
Парсер журналов событий
Чтобы извлечь максимальную пользу из собранных журналов событий, инструменту управления журналами необходимо анализировать журналы событий. EventLog Analyzer имеет встроенный анализатор журналов событий, который может нормализовать, анализировать и индексировать журналы событий.
Понимание обработки на примере
Возьмем журнал с именем устройства и именем пользователя; хотя эта информация легко доступна, неясно, какое имя относится к устройству, а какое - к пользователю. Анализатор журналов событий EventLog Analyzer разбивает журналы событий Windows таким образом, что различные фрагменты информации (в данном примере имя устройства и имя пользователя) отображаются в виде отдельных журналов, которые затем группируются в соответствующие разделы.
Анализ и корреляция журнала событий
Анализ журналов важен для того, чтобы инструмент управления журналами событий функционировал как эффективный инструмент безопасности. EventLog Analyzer ускоряет анализ журнала событий с помощью своего анализатора журналов. Еще большую эффективность обеспечивает механизм корреляции EventLog Analyzer.
Механизм корреляции EventLog Analyzer избавит вас от трудоемкого процесса сопоставления данных журналов вручную, автоматически извлекая журналы событий Windows из базы данных и сравнивая их с форматированными журналами из других источников. Это поможет выявить любую цепочку событий, которая может представлять собой атаку на сеть.
Поиск по журналу событий и криминалистический анализ
ИТ-администраторам часто приходится проводить криминалистический анализ журналов в своих организациях. Во время такого анализа администраторам приходится просматривать журналы, чтобы найти необходимую информацию, однако огромный объем журналов событий Windows делает поиск в них вручную практически невозможным.
EventLog Analyzer имеет специальный модуль поиска, который легко освоить и использовать. Поддерживаются поисковые запросы с подстановочными знаками и логическими операторами; также можно выполнять групповой и диапазонный поиск. Для поиска журнала событий Windows с помощью EventLog Analyzer можно использовать непрерывные подсказки для формирования логического запроса, и этот инструмент отобразит все журналы, соответствующие вашему запросу.
Архивирование журналов событий
Архивирование и правильная утилизация собранных журналов событий является важной частью цикла управления журналами событий. Кроме того, крупные регулирующие органы в области ИТ-безопасности тщательно изучают процессы, используемые организациями для архивации журналов событий. Большинство из них устанавливают определенное количество дней, в течение которых журналы событий должны храниться, прежде чем их можно будет окончательно удалить.
Внедрив EventLog Analyzer, организации могут автоматизировать архивирование журналов событий. Можно указать количество дней, по истечении которых собранные журналы событий будут перемещены в архив, а также настроить количество дней, по истечении которых архивные журналы событий будут окончательно удалены. Эти значения можно определить на основе требований по обеспечению соответствия и требований внутреннего аудита, которые должна соблюдать ваша компания. Функция архивации журнала событий EventLog Analyzer помогает предприятиям соблюдать все основные требования в области ИТ, такие как HIPAA, SOX, GLBA, PCI DSS и GDPR.
Связанные решения
Подробные аудиты журналов событий и отчеты
EventLog Analyzer предлагает тысячи предварительно заданных отчетов об аудите и функций создания настраиваемых отчетов для журналов событий Windows. Подробные отчеты помогают получить представление об аномальных действиях, критических инцидентах и сохраняющихся проблемах.
Управление журналами сервера IIS
Отслеживайте тенденции активности веб-серверов и FTP-серверов Microsoft IIS, обмен данными, ошибки, действия пользователей, события безопасности и веб-атаки с помощью функций мониторинга журналов приложений, которые предлагает EventLog Analyzer.
Аудит брандмауэра Windows
EventLog Analyzer помогает отслеживать изменения, внесенные в конфигурации брандмауэра Windows, групповые политики и правила брандмауэра. Кроме того, инструмент также обнаруживает распространенные сетевые Flood-атаки, такие как SYN-атаки, атаки, направленные на сканирование портов, и атаки типа "отказ в обслуживании", анализируя журналы событий брандмауэра.
Расширенное обнаружение угроз
EventLog Analyzer сопоставляет журналы от широкого спектра сетевых объектов и сторонних приложений для анализа угроз с данными из глобальных каналов угроз для выявления новых и развивающихся моделей атак и блокирования миллионов источников, занесенных в черные списки по всему миру.
Управление реагированием на инциденты
Автоматизируйте реагирование на инциденты безопасности путем создания рабочих процессов. EventLog Analyzer предлагает несколько наборов действий рабочего процесса, таких как действия Windows, действия Active Directory, действия в сети и логические действия. Используйте эти действия для отключения систем, удаления учетных записей пользователей, запуска сценариев, отключения USB-накопителей и выполнения аналогичных мер реагирования.
Оповещения о событиях в режиме реального времени
Настройте оповещения о критических инцидентах безопасности и других событиях, представляющих интерес, с помощью более чем 500 предварительно заданных профилей оповещений EventLog Analyzer. Настройте оповещения, создавайте новые и получайте уведомления в режиме реального времени по SMS и электронной почте.