Pour qu’une organisation puisse prévenir les cyberattaques, elle doit d’abord disposer d’une visibilité complète sur tous les événements qui se produisent au sein de son réseau. Grâce à cette visibilité, l’organisation peut analyser les comportements à risque des utilisateurs et des entités, et prendre les mesures nécessaires pour se sécuriser de manière proactive.
Cependant, si une attaque devait tout de même se produire, l’organisation a de nouveau besoin d’une visibilité complète pour identifier comment et d’où l’attaquant a pénétré dans le réseau. Même lorsqu’elles effectuent des analyses de logs, les organisations ont besoin d’une visibilité complète du réseau. Sans cela, l’organisation ne pourra pas remonter dans le temps, identifier la cause première et la relier au comportement de certains employés ou terminaux.
Pour obtenir une visibilité du réseau, les entreprises doivent intégrer les journaux de tous les périphériques du réseau dans une solution d’analyse de la sécurité telle qu’un outil SIEM. La première étape pour gagner en visibilité consiste à découvrir tous les appareils connectés au réseau. Mais dans le cas d’une organisation en pleine croissance, où de nouveaux appareils peuvent être ajoutés au réseau en permanence, maintenir une visibilité sur tous les appareils du réseau est plus facile à dire qu’à faire. Cependant, les organisations dont les dispositifs ne sont pas découverts sont des cibles faciles pour les cyberattaques.
Si l’ajout manuel de périphériques est une option, elle n’est pas réalisable, surtout dans une organisation en pleine croissance. Dans ce cas, il est préférable d’opter pour une solution SIEM qui peut découvrir automatiquement les périphériques de votre réseau. Qu’il s’agisse d’un périphérique Windows, d’un pare-feu, d’un routeur ou d’un autre périphérique, une bonne solution SIEM peut le découvrir automatiquement, à condition que l’analyste de sécurité entre la plage d’adresses IP dans laquelle il souhaite que les périphériques soient découverts.
Une fois ces dispositifs découverts, la solution SIEM peut analyser les journaux de ces dispositifs de manière transparente et fournir des rapports détaillés. La solution SIEM utilisera sa plateforme intégrée de renseignement sur les menaces (TIP), son moteur de corrélation et son module de détection des anomalies pour analyser les journaux.
Un TIP fournit des flux de menaces qui donnent des informations cruciales telles que des indicateurs de compromission, des adresses IP malveillantes et des détails sur les capacités des attaquants connus. Le moteur de corrélation permet de relier des événements apparemment sans rapport entre eux et de les identifier comme faisant partie d’un incident plus vaste. Enfin, la détection des anomalies, ou UEBA, aide à détecter les événements anormaux causés par des initiés malveillants et des menaces externes. L’UEBA permet également d’évaluer les risques et de hiérarchiser les alertes, facilitant ainsi la vie des analystes.
ManageEngine Log360 est une solution SIEM unifiée avec des fonctionnalités DLP et CASB intégrées qui offre une surveillance de la sécurité en temps réel, une visibilité complète du cloud, une gestion intégrée de la conformité, et bien plus encore.
Pour effectuer une découverte des dispositifs à l’aide de Log360, sélectionnez l’onglet Paramètres dans le tableau de bord Log360 et cliquez sur Périphériques, comme le montre la figure ci-dessous.
Figure 1 : Console Log360 montrant les options de configuration de la source de journal
Maintenant, si vous voulez ajouter un périphérique d’un format spécifique, par exemple un périphérique syslog, cliquez sur Périphériques Syslog et sélectionnez Ajouter un ou plusieurs périphériques, comme illustré à la Figure 2, pour ajouter le périphérique requis.
Figure 2 : La console Log360 affichant les options de découverte des périphériques
Si vous connaissez déjà les détails de l’hôte, saisissez-les directement. Sinon, vous pouvez sélectionner l’option Découvrir et ajouter comme indiqué ci-dessous.
Figure 3 : Ajout de périphériques syslog à l’aide de Log360
Vous pouvez maintenant découvrir les périphériques en fonction de la plage d’adresses IP ou du CIDR, comme le montre la Figure 4.
Figure 4 : Découverte automatique des dispositifs à l’aide de ManageEngine Log360.
Outre la découverte automatique des dispositifs, Log360 vous aide à :
-
Collecter les journaux de plus de 700 types de périphériques réseau pour une surveillance en temps réel.
-
Corréler différents événements en incidents plus importants et plus faciles à gérer.
-
Surveiller l’accès aux serveurs et aux bases de données, et suivre les activités suspectes sur vos serveurs de fichiers.
-
Recevoir des alertes en fonction des scores de risque croissants.
-
Automatiser votre réponse aux incidents et stopper l’exfiltration de données malveillantes.
Pour en savoir plus sur la façon dont Log360 peut aider votre organisation à se défendre contre les cyberattaques, inscrivez-vous à une démo personnalisée et parlez à nos experts en solutions. Merci de votre lecture !
Source : Device discovery: The path to total network visibility