Outros posts nesse mesmo blog deram uma boa visão dos recursos de auditoria detalhada do Log360, enquanto a parte um explicou como o produto é fácil de configurar e usar. Mas o SIEM é mais do que apenas auditoria; como veremos na postagem de blog de hoje, ele também ajuda a proteger sua rede contra ataques internos e externos por meio de seus recursos avançados de segurança.
Inteligência contra ameaças em tempo real
A inteligência contra ameaças ajuda a proteger sua rede contra vários tipos de ameaças, incluindo malware, phishing e spam, ameaças persistentes avançadas, comunicações de servidores de retorno de chamada e ataques de botnet.
O Log360 contém um processador de inteligência de ameaças integrado que recupera automaticamente os feeds de ameaças mais recentes de fontes abertas confiáveis, como AlienVault OTX e Hail a TAXII, e verifica sua rede continuamente em busca de sinais de atividades maliciosas. Esse recurso é pré-configurado e começa a monitorar sua rede em busca de ameaças no momento em que você adiciona fontes de log. O Log360 também permite adicionar feeds de ameaças personalizados baseados em STIX/TAXII e integrá-los perfeitamente ao seu programa de inteligência de ameaças.
Usando o módulo de pesquisa, você pode rastrear o caminho de qualquer agente de ameaça em sua rede em meros segundos. Você pode até reduzir falsos positivos configurando alertas de ameaças baseados em correlação que enviam notificações somente quando as ações de um agente de ameaças são confirmadas como atividades suspeitas.
Análise de comportamento de usuário e entidade (ACUE) através de aprendizado artificial
Embora auditar seus logs e identificar eventos preocupantes seja principalmente uma estratégia reativa, o aprendizado artificial de máquina ajuda você a se tornar proativo, permitindo identificar elementos de risco em sua rede. A ACUE funciona baseando o comportamento do usuário e da entidade, medindo-o em relação às atividades anteriores e acionando um alarme se esse comportamento se desviar dos padrões normais.
O módulo ACUE do Log360 aproveita seus logs de rede para monitorar e criar constantemente o perfil de seus usuários e entidades de rede, como servidores Windows e SQL, firewalls e outros dispositivos de rede. Ele registra todos os desvios com base no tempo, padrão ou contagem e atribui automaticamente uma pontuação de risco a cada usuário e entidade. Isso ajuda a determinar a ameaça que eles representam para sua rede.
O painel ACUE fornece um resumo conciso dos riscos apresentados por cada usuário e entidade e seu histórico de atividades anormais. A pontuação de risco permite priorizar quais ameaças focar primeiro; você pode criar uma lista de observação de usuários e entidades com base em suas pontuações de risco e receber alertas para todas as atividades suspeitas. A ACUE também ajuda a corroborar ameaças identificando possíveis indicadores de comprometimento em sua rede.
Segurança de dados
Além dos recursos básicos de auditoria de banco de dados e arquivos, o Log360 também fornece relatórios avançados de auditoria e recursos de descoberta de dados.
O recurso de monitoramento da integridade da coluna permite que você observe as colunas críticas do banco de dados e rastreie todas as alterações feitas nelas, juntamente com os valores antigos e novos. Isso ajuda a preservar a integridade da coluna e reverter seu banco de dados para um estado estável em caso de alteração incorreta ou não autorizada.
O recurso de descoberta de dados verifica sua rede e usa políticas automatizadas para ajudá-lo a encontrar informações de identificação pessoal (IIP) nos arquivos, pastas ou compartilhamentos de sua rede. Você pode acompanhar todas as alterações feitas nesses dados e analisar as tendências de acesso e modificação. Isso ajuda você a proteger dados confidenciais e a cumprir mandatos de conformidade como a GDPR, que exige que você rastreie esse tipo de dados em toda a sua rede o tempo todo.
Correlação avançada de eventos
A auditoria de eventos de rede de cada fonte de log isoladamente oferece muitas vantagens e ajuda a descobrir padrões que podem fornecer informações valiosas. Como os logs de várias fontes são fornecidos em formatos diferentes, revisá-los nem sempre é fácil.
A correlação de eventos é uma técnica poderosa que ajuda a conectar os pontos entre os logs relacionados e identifica padrões suspeitos de atividade com base em regras de correlação predefinidas. O módulo de correlação do Log360 vem com mais de 30 regras de correlação predefinidas que ajudam a identificar vários tipos de ataques, incluindo aqueles gerados por downloads de malware, mineração de criptografia e atividade de worms. Os relatórios de correlação agregados fornecem uma linha do tempo detalhada de todos os eventos que levaram a um incidente de segurança e facilitam investigações forenses rápidas.
Gerenciamento de incidentes
Além dos métodos de detecção descritos acima, o Log360 também ajuda a gerenciar incidentes com eficiência. O gerenciamento adequado de incidentes ajuda a resolver ocorrências com muito mais rapidez e reduz custos no processo.
Uma das maneiras de o Log360 fazer isso é incluir um módulo de emissão de tíquetes integrado que permite atribuir tíquetes de incidentes manualmente ou automaticamente aos respectivos proprietários. Você pode acompanhar o status do incidente até sua resolução. O módulo também permite que você mantenha um banco de dados de incidentes anteriores que você pode consultar facilmente.
Além disso, muitas organizações usam software de suporte técnico separado. Para poupara quantidade de sobrecarga manual e garantir que nenhum incidente seja perdido, o Log360 permite que você encaminhe automaticamente incidentes de segurança para software de suporte técnico externo, incluindo ServiceDesk Plus, ServiceNow, Jira Service Desk, Zendesk, Kayako e BMC Remedy Service Desk.
Com todos esses recursos avançados de segurança, o Log360 vai além para detectar incidentes suspeitos em sua rede e ajudá-lo a investigá-los e gerenciá-los com facilidade. Experimente esses recursos com uma avaliação gratuita de 30 dias do Log360.