Каждой организации необходим оперативный и эффективный план обнаружения угроз и реагирования на инциденты, чтобы противостоять многочисленным угрозам в современном ландшафте кибербезопасности. Log360, решение SIEM от ManageEngine с интегрированными возможностями DLP и CASB, обнаруживает угрозы в масштабе всей корпоративной сети, охватывая конечные точки, межсетевые экраны, веб-серверы, базы данных, коммутаторы, маршрутизаторы и даже облачные источники.

Ниже можно ознакомиться с тем, как Log360 выполняет три основных типа обнаружения угроз: обнаружение угроз событий безопасности, обнаружение сетевых угроз и обнаружение угроз конечным точкам.

Обнаружение угроз безопасности

Такие события, как аутентификация, сетевой доступ и другие критические ошибки и предупреждения, называются событиями безопасности. Угрозы, которые можно обнаружить с помощью этих событий, классифицируются как угрозы событий безопасности. Примерами угроз безопасности являются атаки методом подбора паролей, неправомерное использование привилегий и повышение привилегий.

Как Log360 обнаруживает угрозы безопасности

  • Мониторинг привилегированных пользователей. Аудит входа в систему, выхода из системы и доступа к ресурсам привилегированных пользователей. Выявляйте необычную активность пользователей и угрозы, связанные с пользователями, с помощью аналитики поведения пользователей и сущностей на основе машинного обучения.
  • Обнаружение повышения уровня привилегий. Мониторинг действий пользователей и обнаружение эскалации привилегий и попыток злоупотребления привилегиями с помощью реализации метода MITRE ATT&CK на основе сигнатур.
  • Мониторинг сбоев аутентификации. Расследуйте подозрительные сбои аутентификации в критически важных системах с помощью панели аналитики безопасности и шкалы времени инцидентов, обнаруживайте и предотвращайте попытки подбора паролей или несанкционированного доступа к сети.
  • Обнаружение несанкционированного доступа к данным. Контролируйте доступ к базам данных и конфиденциальным данным на файловых серверах. Получите возможность отслеживать несанкционированный доступ к данным с помощью мониторинга целостности файлов и столбцов.
Обнаружение угроз безопасности
Обнаружение сетевых угроз

Обнаружение сетевых угроз

Сетевые угрозы - это несанкционированные попытки проникновения в сеть со стороны злоумышленника с целью кражи конфиденциальных данных или нарушения функционирования и структуры сети. К примерам сетевых угроз относятся DoS-атаки, распространение вредоносного ПО, постоянные угрозы повышенной сложности, кража данных, внедрение вредоносных устройств и многое другое. Для обнаружения этих угроз необходимо понимать и контролировать сетевой трафик.

Как помогает Log360

  • Мониторинг трафика. Контролируйте сетевой трафик на предмет необычных, разрешенных и запрещенных подключений. Получайте информацию об активности портов для обнаружения подозрительного использования портов.
  • Аудит изменений. Контролируйте политики брандмауэра для обнаружения изменений, вносимых злоумышленниками для размещения вредоносного трафика.
  • Автоматически обновляемая информация об угрозах. Выявляйте и блокируйте вредоносный входящий и исходящий трафик с помощью динамически обновляемых каналов угроз. Выявляйте вредоносные IP-адреса и URL-адреса в сетевом трафике и немедленно блокируйте их.
  • Обнаружение вредоносных устройств. Выявляйте вредоносные устройства с помощью консоли поиска и устраняйте их с помощью рабочих процессов реагирования на инциденты.
Посмотрите, как Log360 обнаруживает вредоносный трафик

Выявление угроз на конечных устройствах

Угрозы часто возникают на конечных точках. Одним из примеров является вирус-вымогатель, который из года в год получает огромную прибыль, блокируя конечные точки и требуя выкуп за доступ. К другим угрозам для конечных точек относятся необычное поведение пользователя, сбои в работе устройства, неправильные настройки и подозрительные загрузки. Эти потери и ущерб можно в значительной степени ограничить с помощью своевременного вмешательства, которое возможно благодаря технологии обнаружения и реагирования на угрозы конечных точек.

Как помогает Log360

  • Обнаружение программ-вымогателей. Выявляйте различные виды программ-вымогателей, в том числе общего характера, с помощью встроенных правил корреляции и уведомлений в режиме реального времени.
  • Обнаружение аномалий. Выявляйте необычное поведение пользователей и объектов с помощью алгоритмов машинного обучения.
  • Обнаружение вредоносных программ. Выявляйте вредоносные и подозрительные установки программного обеспечения на компьютерах Windows и Linux.
  • Log360 интегрируется с решением для управления конечными точками ManageEngine, Endpoint Central, расширяя охват поверхности атак для эффективного обнаружения угроз. Для получения дополнительной информации нажмите здесь.
Выявление угроз на конечных устройствах

Почему стоит рассмотреть Log360 для обнаружения угроз?

 

  • Обнаружение инцидентов в режиме реального времени

    Обнаружение инцидентов в режиме реального времени со встроенным управлением инцидентами, а также поддержка сторонних инструментов управления обращениями.

  • Модуль UEBA на основе машинного обучения

    Модуль UEBA на базе машинного обучения, который обнаруживает аномалии и обеспечивает оповещение на основе оценки риска.

  • Информационные панели безопасности для мониторинга событий

    Информационные панели безопасности для мониторинга событий как для локальных, так и для облачных источников журналов во всей сети.

  • Мониторинг целостности файлов

    Мониторинг целостности критически важных системных файлов и папок с отслеживанием доступа к файлам и их изменением.

  • Мощная поисковая система

    Мощная поисковая система, облегчающая поиск угроз.

  • Автоматизация рабочих процессов

    Автоматизированные рабочие процессы для немедленного реагирования на инциденты.

  • Автоматически обновляемый модуль анализа угроз

    Автоматически обновляемый модуль анализа угроз, получающий данные из надежных источников.

Вопросы и ответы

1. Что такое обнаружение угроз и реагирование на них?

Обнаружение угроз и реагирование на них (TDR) - это процесс выявления и нейтрализации вредоносных угроз, присутствующих в вашей ИТ-инфраструктуре. Он включает в себя упреждающий мониторинг, анализ и действия по снижению рисков и защите от несанкционированного доступа, вредоносных действий и утечек данных, прежде чем они нанесут какой-либо потенциальный вред сети организации. Для обнаружения угроз используются автоматические инструменты безопасности, такие как системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS), межсетевые экраны, решения по защите конечных точек и решения SIEM.

Обнаружение угроз имеет решающее значение для обнаружения угроз и реагирования на них сразу же после их возникновения, чтобы предотвратить действия вредоносных программ, программ-вымогателей и другие кибератаки, которые могут повредить ключевые данные и нарушить корпоративную деятельность.

2. В чем разница между обнаружением угроз, предотвращением угроз и анализом угроз?

  •  Обнаружение угроз. Обнаружение угроз - это реактивный подход, при котором вы уже оповещены о подозрительной активности или угрозах безопасности в сети, атакующих конечные точки, устройства, сети и системы.
  •  Предотвращение угроз. Предотвращение угроз - это упреждающий подход, при котором вы пытаетесь защитить данные своей организации от утечки, выявляя и пресекая угрозы безопасности до их возникновения.
  •  Анализ угроз. Анализ угроз предоставляет ценную информацию о возникающих угрозах, показателях компрометации (IOC), профилях субъектов угроз и методах атак, что помогает заблаговременно понимать угрозы и готовиться к ним.
Главная »