Главная »

Ознакомьтесь с инструментами Log360
по трехстороннему расследованию угроз

Разработано для эффективного и быстрого анализа и устранения угроз.

Загрузить
   

Управление сетевой безопасностью для предприятий включает в себя циклический процесс мониторинга инцидентов, обнаружения, проверки случаев угроз, устранения последствий и упреждающего поиска угроз. Упреждающий поиск угроз и проверка случаев угроз являются трудоемкими процессами, выполняемыми вручную и требующими обширных расследований.

Компонент Incident Workbench Log360 предоставляет расширенную аналитическую консоль, которая:

  • Значительно сокращает время, необходимое для сбора важной информации для проведения эффективных расследований.
  • Улучшает процесс расследования с помощью контекстных данных, полученных с помощью машинного обучения.

Изучите возможности этой функции:

Унифицированная аналитика основных цифровых артефактов

Incident Workbench - это компонент для расследований в составе системы обнаружения, расследования угроз и реагирования на них (TDIR) Log360 - Vigil IQ. Она позволяет добавлять, сравнивать и анализировать основные цифровые сущности, такие как пользователи, устройства и процессы.

  • Помощь в расследованиях. Incident Workbench можно вызвать из любой точки консоли SIEM Log360 при просмотре различных информационных панелей, таких как "Отчеты", "Поиск по журналам", "Соответствие требованиям", "Корреляция" и других.
  • Упрощенный доступ. Система обеспечивает гибкость за счет простого механизма указания и зондирования, позволяя выбирать любой объект и углубляться в расследование с использованием дополнительных аналитических данных.
 
Ознакомьтесь с примером расследования утечки данных с помощью Incident Workbench
×
Унифицированная аналитика основных цифровых артефактов
  • Advanced integrations
  • Advanced integrations

Расширенные интеграции

Помимо объединения аналитики, инструменты для расследования угроз также обогащают аналитические данные следующими интеграциями:

  • Интеграция с аналитикой пользователей на основе машинного обучения: UEBA из набора Log360

Интегрированные данные UEBA позволяют получить представление об активности пользователей за выбранный период, проводить анализ поведенческого риска и прогнозировать тренды оценки рисков.

  • Интеграция с расширенной аналитикой угроз: VirusTotal, сторонний инструмент

Анализируйте IP-адреса с помощью интеграции расширенной аналитики угроз (ATA) Log360, включая VirusTotal - один из крупнейших каналов данных об угрозах в реальном времени, предлагающий оценки риска доменов, консолидированные от нескольких поставщиков решений безопасности, информацию Whois об источнике угрозы и связанные файлы.

Поиск подозрительных процессов

Отслеживание процессов, важнейший механизм расследования угроз, предоставляющий контекстную информацию о возникновении подозрительных процессов, часто отходит на второй план из-за сложностей сопоставления связей родительских и дочерних объектов. Log360 решает эту проблему, обеспечивая визуализацию потока процессов с помощью инструментов для расследования угроз за счет графических форматов, таких как:

  • Дерево объектов типа "родитель-потомок".
  • Кластеры процессов.
  • Визуализация потоков процессов с помощью диаграмм Сэнки.

Наряду с этим среди инструментов также доступны временная шкала событий и подробности событий. Это значительно сокращает время, необходимое аналитикам безопасности для обнаружения вредоносных действий путем проверки процессов.

  • Process hunting
  • Process hunting
  • Process hunting
  • Enriched incident building
  • Enriched incident building

Расширенное формирование инцидентов

Инструменты для расследования угроз можно также использовать в качестве доски сбора доказательств, добавив экземпляры инструментов в консоль управления инцидентами. Можно добавить в рабочую среду до 20 вкладок, содержащих аналитические данные из разных источников, и сохранить их. Вместо разрозненных отчетов для заполнения сведений об инцидентах единый экземпляр рабочего места будет содержать полную картину.

Почему стоит выбрать Log360 для расследования угроз?

  • Центральная консоль
  • Набор TDIR
  • Поиск подозрительных процессов
  • Ориентация на SOC
       

Централизованная консоль для расследования на основе данных

Log360 - это набор инструментов SIEM, который объединяет аналитику безопасности корпоративных сетей в единой централизованной консоли. Он позволяет проводить расследования на основе данных, собирая, обрабатывая и анализируя журналы из более чем 750 источников. Эти обширные данные соответствующим образом организованы для предоставления эффективной аналитики посредством нескольких информационных панелей аналитики.

Расширенные функции, сокращающие время расследования

Значительная часть расследования угроз включает проверку случаев угроз, о которых сообщают модули оповещения SIEM. В Log360 оповещения тщательно корректируются с использованием функции адаптивного порога на основе машинного обучения с помощью Vigil IQ, чтобы свести к минимуму ложные угрозы, которые отнимают большую часть времени и ресурсов на расследование.

Набор инструментов для поиска подозрительных процессов

В то время как инструментарий для расследования угроз помогает анализировать дерево родительских и дочерних процессов, механизм корреляции включает более 30 предопределенных правил для выявления подозрительных процессов, порождаемых нелегитимными родительскими и дочерними процессами. Это делает Log360 полноценным набором инструментов для поиска процессов.

Решение, подходящее для SOC

С помощью Log360 аналитики получают доступ к сотням предварительно заданных отчетов, оповещений и правил корреляции для быстрого начала работы, а также гибкость при настройке решения в соответствии с различными средами. Последовательное улучшение функциональности и пользовательского интерфейса, включая такие функции, как инструменты для расследования угроз, делает решение удобным для SOC, ориентированным на устранение проблем в режиме реального времени.

Вопросы и ответы

Что такое расследование угроз?

Расследование угроз - это систематический процесс анализа потенциальных инцидентов кибербезопасности в корпоративных сетях и реагирования на них с целью выявления и обнаружения вредоносных действий или уязвимостей. Этот процесс носит упреждающий характер и выполняется регулярно для оценки состояния безопасности сети, а также после обнаружения нарушений для поиска первопричины и пути атаки.

Какие препятствия встречаются при активном расследовании угроз?

Вот некоторые препятствия, с которыми сталкиваются организации при расследовании угроз:

  • Широкая поверхность атак из-за огромных объемов данных журналов затрудняет оптимизацию информации.
  • Сложные инструменты безопасности, вызывающие трудности с настройкой, перегруженность функциями и интеграцией, а также отсутствие интуитивно понятного пользовательского интерфейса.
  • На проверку оповещений тратится огромное количество времени, большинство из которых - ложные срабатывания.
  • Недостаток навыков и осведомленности среди аналитиков.
  • Инвестирование в слишком большое количество инструментов безопасности при недостаточном использовании их возможностей.

Как решения SIEM помогают в расследовании угроз?

Решения SIEM, такие как Log360, предлагают следующие функции и преимущества для расследования угроз:

  • Агрегация данных достигается путем централизованного сбора журналов как с помощью агентов, так и без них с использованием API.
  • Информационные панели аналитики с отчетами о событиях в сети.
  • Обнаружение аномалий с помощью предварительно заданных оповещений, правил корреляции и UEBA.
  • Интегрированные каналы передачи информации об угрозах.
  • Криминалистический анализ с использованием возможностей поиска в журналах.
  • Консоль управления инцидентами для создания, проверки инцидентов и реагирования на них.

Помимо этого, инструменты для расследования угроз Log360 выводят этот процесс на новый уровень благодаря комплексной аналитической консоли, которая предоставляет пользователям гибкость при проверке данных и позволяет им быстро делать выводы.

Прислушайтесь к мнению тех, кто трансформировал свою безопасность с помощью Log360

 

  • Log4j

    С помощью Log360 мы быстро выявили критическую уязвимость Log4j в течение двух недель после внедрения. Функции мониторинга приложений предупредили нас о подозрительных действиях, позволив нашей команде оперативно снизить риски и защитить наши конфиденциальные данные и инфраструктуру. Эффективность Log360 сыграла решающую роль в укреплении нашей киберзащиты.

    Кельвин Чунг

    Системный администратор.

  • Paradyn's MSSP services

    Благодаря ManageEngine Log360 мы предотвратили потенциальную утечку данных, вызванную недовольным бывшим сотрудником. Система предупредила нас о несанкционированном доступе и сбоях аутентификации, что позволило нам быстро решить проблемы. Log360 сыграл важнейшую роль в защите наших конфиденциальных файлов и сохранении их целостности.

    Эдвард МакГрейнор

    Инженер SOC

  • Фишинговое письмо

    Выбор Log360 в качестве решения SIEM полностью изменил ситуацию с безопасностью Calgon Carbon. Столкнувшись с фишинговым инцидентом, мы на деле увидели, насколько бесценны возможности Log360 по мониторингу в реальном времени и обнаружению угроз. Система оперативно оповестила нашу службу безопасности, что позволило немедленно принять меры по снижению рисков и предотвращению дальнейших нарушений.

    Райан Кемп

    Аналитик по ИТ-безопасности II.

 
 

Ознакомьтесь с возможностями Log360 бесплатно

Изучите обширные возможности унифицированного решения SIEM на базе Log360

Загрузить

Пошаговые инструкции от экспертов

Запланируйте персональную консультацию с нашими экспертами по решению, чтобы изучить возможности Log360

Запланировать демонстрацию

Рассчитать рентабельность инвестиций

Требуется рассчитать окупаемость инвестиций в развертывание Log360?

Расценки

Запросите персональное предложение с расценками на Log360

Получить предложение с расценками