A parte dois e a parte três desta série de blogs deram uma olhada detalhada nos recursos de auditoria aprofundada do Log360 da ManageEngine, enquanto a parte um explicou como é fácil configurar e usar o produto. Mas o SIEM é mais do que apenas auditoria; como veremos na publicação de hoje, também ajuda a proteger sua rede contra ataques internos e externos por meio de seus avançados recursos de segurança.
Inteligência de ameaças em tempo real
A inteligência de ameaças ajuda a proteger sua rede contra vários tipos de ameaças, incluindo malware, phishing e spam, ameaças persistentes avançadas, comunicações de servidores de retorno de chamada e ataques de botnets.
O Log360 contém um processador de inteligência de ameaças embutido que recupera automaticamente os feeds de ameaças mais recentes de fontes abertas confiáveis, como AlienVault OTX e Hail a TAXII, e verifica sua rede continuamente em busca de sinais de atividades maliciosas. Esse recurso é pré-configurado e começa a monitorar ameaças à sua rede no momento em que você adiciona fontes de log. O Log360 também permite adicionar feeds de ameaças personalizados baseados em STIX / TAXII e integrá-los perfeitamente ao seu programa de inteligência de ameaças.
Usando o módulo de pesquisa, você pode rastrear o caminho de qualquer agente de ameaça através da sua rede em segundos. Você pode até reduzir os falsos positivos configurando alertas de ameaça baseados em correlação que enviam notificações somente quando as ações de um ator de ameaça são confirmadas como atividade suspeita.
Análise do comportamento do usuário e da entidade (UEBA) alimentada por aprendizado de máquina
Embora a auditoria de seus logs e a identificação de eventos preocupantes sejam basicamente uma estratégia reativa, o aprendizado de máquina ajuda você a se tornar proativo, permitindo identificar elementos de risco em sua rede. O UEBA funciona baseando o comportamento do usuário e da entidade, comparando-o com as atividades passadas e acionando um alarme se esse comportamento se desviar dos padrões normais.
O módulo UEBA do Log360 utiliza seus logs de rede para monitorar o perfil constantemente dos seus usuários e entidades de rede, como servidores Windows e SQL, firewalls e outros dispositivos de rede. Ele registra todos os desvios com base no tempo, padrão ou contagem e atribui automaticamente uma pontuação de risco a cada usuário e entidade. Isso ajuda a determinar a ameaça que eles representam para sua rede.
O painel da UEBA fornece um resumo conciso dos riscos apresentados por cada usuário e entidade e seu histórico de atividades anormais. A pontuação de risco permite priorizar quais ameaças devem ser focadas primeiro; você pode criar uma lista de observação de usuários e entidades com base em suas pontuações de risco e receber alertas de todas as atividades suspeitas. O UEBA também ajuda a corroborar ameaças, identificando possíveis indicadores de comprometimento na sua rede.
Segurança de dados
Além dos recursos básicos de auditoria de banco de dados e arquivos, o Log360 também fornece relatórios avançados de auditoria e recursos de descoberta de dados .
O recurso de monitoramento de integridade da coluna permite observar colunas críticas do banco de dados e rastrear todas as alterações feitas nas mesmas, junto com valores antigos e novos. Isso ajuda a preservar a integridade da coluna e a reverter seu banco de dados para um estado estável em caso de alteração incorreta ou não autorizada.
O recurso de descoberta de dados varre sua rede e usa políticas automatizadas para ajudá-lo a encontrar informações de identificação pessoal (PII) nos arquivos, pastas ou compartilhamentos da sua rede. Você pode acompanhar todas as alterações feitas nesses dados e analisar as tendências de acesso e modificação. Isso ajuda a proteger dados confidenciais e a cumprir os mandatos de conformidade como o GDPR, que exige que você acompanhe esse tipo de dados em toda a sua rede o tempo todo.
Correlação avançada de eventos
A auditoria isolada de eventos de rede de cada fonte de log oferece muitas vantagens e ajuda a descobrir padrões que podem fornecer informações valiosas. Como os logs de várias fontes são fornecidos em diferentes formatos, revisá-los nem sempre é fácil.
A correlação de eventos é uma técnica poderosa que ajuda a conectar os pontos entre logs relacionados e identifica padrões suspeitos de atividade com base em regras de correlação predefinidas. O módulo de correlação do Log360 vem com mais de 30 regras de correlação predefinidas que ajudam a identificar vários tipos de ataques, incluindo os gerados a partir de downloads de malware, atividade de criptografia e worms. Os relatórios de correlação agregados fornecem uma linha do tempo detalhada de todos os eventos que antecederam um incidente de segurança e facilitam investigações forenses rápidas.
Gerenciamento de incidentes
Além dos métodos de detecção descritos acima, o Log360 também ajuda a gerenciar incidentes com eficiência. O gerenciamento adequado de incidentes ajuda a resolver as ocorrências com muito mais rapidez e reduz os custos no processo.
Uma das maneiras pelas quais o Log360 faz isso é a inclusão de um módulo de emissão de solicitação embutido que permite atribuir manual ou automaticamente tickets de incidente a seus respectivos proprietários. Você pode acompanhar o status do incidente até sua resolução. O módulo também permite que você mantenha um banco de dados de incidentes anteriores aos quais você pode se referir facilmente.
Além disso, muitas organizações usam software de suporte técnico separado. Para evitar uma sobrecarga manual e garantir que nenhum incidente seja perdido, o Log360 permite encaminhar automaticamente incidentes de segurança para softwares externos de suporte técnico, incluindo ServiceDesk Plus, ServiceNow, Jira Service Desk, Zendesk, Kayako e BMC Remedy Service Desk.
Com todos esses recursos avançados de segurança, o Log360 vai além para detectar incidentes suspeitos na sua rede e ajudá-lo a investigar e gerenciá-los com facilidade. Teste esses recursos com uma avaliação gratuita de 30 dias do Log360, contando com a equipe ACSoftware sua revendedora ManageEngine no Brasil!
