Logpoint UEBA : Détectez rapidement les menaces internes et inconnues.

Accélérez la détection et la réponse aux menaces en repérant les signes annonciateurs de modèles suspects et de comportements anormaux avec une solution UEBA (User and Entity Behavior Analytics) avancée.

Obtenez une analyse approfondie des tentatives de connexion suspectes ayant réussi ou échoué, des attaques par force brute, de l’utilisation anormale de programmes ou du premier accès à ces derniers, des transactions et systèmes, ainsi que des modèles inhabituels au niveau de l’activité globale des utilisateurs.

Identification rapide des modèles de menace pour réduire efficacement les risques

Les attaques avancées et les menaces omniprésentes qui pèsent sur votre organisation impliquent souvent des identifiants compromis ou bien utilisent une contrainte exercée sur les utilisateurs pour qu’ils effectuent des actions qui vont nuire à la sécurité de l’entreprise. Pour identifier de telles attaques, vous avez besoin d’une solution robuste qui permette à l’équipe de sécurité de déterminer rapidement si l’activité est normale ou anormale sur votre réseau.

Logpoint UEBA vous aide à améliorer l’investigation des modèles comportementaux inhabituels tout en réduisant le temps consacré à la chasse aux menaces. Réduisez les risques, les dommages et les pertes de données en détectant le plus tôt possible les attaques avancées.

L’UEBA travaille avec Logpoint SIEM pour vous fournir des aperçus complets et maximiser la valeur de vos données.

Enrichir vos données SIEM

La corrélation des données de l’UEBA avec les événements SIEM rend les événements de départ plus pertinents que jamais. Les données de log d’origine peuvent être enrichies à l’aide des informations fournies par la technologie d’apprentissage automatique(machine learning) de l’UEBA, vous permettant ainsi de découvrir les comportements suspects des utilisateurs. Les incidents peuvent être visualisés à l’aide de tableaux de bord et de modèles de recherche pour une chasse aux menaces plus rapide.

Des investigations plus rapides et efficaces

En plus des délais de détection plus courts, le SIEM + UEBA fournit des preuves plus exploitables lors des investigations ainsi qu’une efficacité et une précision renforcées au niveau des alertes et des incidents générés. De plus, la mise en place de réponses automatisées avec l’aide du SOAR améliore l’efficacité globale, permettant ainsi à votre équipe SOC de travailler plus intelligemment et de se concentrer sur les menaces véritablement importantes.

Repérer rapidement les activités malveillantes

Logpoint UEBA établit des règles de base concernant le comportement normal de chaque utilisateur, groupe de pairs et entité du réseau au lieu d’appliquer des règles prédéfinies définissant un comportement standard. En identifiant les écarts, Logpoint UEBAdétecte rapidement les schémas anormaux, qui ne sont pas forcément immédiatement évidents et qui peuvent donc passer souvent inaperçus.

Faciliter la priorisation

Logpoint UEBA calcule des scores de risque pour aider les analystes à progresser et à prioriser efficacement les incidents. Plus le score est proche de 100, plus le comportement est risqué.

Menaces internes

Les menaces internes sont généralement détectées en repérant un comportement qui s’écarte des règles de base standardisées.

Les Insiders malveillants
Probablement la catégorie de menaces internes la plus connue et la plus médiatisée. Il s’agit généralement d’entités qui profitent de leur accès privilégié aux ressources de l’entreprise pour lui porter préjudice.

Les Insiders négligents
Des entités qui ne mettent en œuvre aucune démarche en matière de sécurité, ne suivent pas les règlementations et les normes, etc. Souvent, ces derniers ne savent pas, par exemple, si les politiques de sécurité de l’entreprise ont correctement été définies.

Infiltrateurs
Des acteurs qui sont, en pratique, des outsiders, et qui obtiennent intentionnellement un accès interne, souvent temporairement, pour atteindre leurs objectifs.

Menaces externes

Les menaces externes sont mieux détectées grâce aux éventuelles déviations identifiées au niveau des modèles de comportement des utilisateurs et des entités. Si un compte est compromis ou si un adversaire a accédé à un serveur, il y a de fortes chances que le comportement soit différent des règles de base standardisées.

Comptes compromis
Les comptes compromis sont des personnes extérieures (outsiders) qui ont obtenu l’accès au compte d’un insider.

Menaces persistantes avancées (APT : Advanced Persistent Threats)
Un adversaire obtient un accès non autorisé à un réseau informatique et reste non détecté pendant une période pouvant être assez longue.

MITRE ATT&CK

Toutes les anomalies au niveau de l’UEBA sont mappées avec le framework MITRE ATT&CK, une classification des tactiques et techniques adverses, standardisée au niveau du secteur, et basée sur des observations réelles de différentes cyberattaques.

Logpoint UEBA associe les algorithmes d’apprentissage automatique (machine learning) à des scénarios concrets et réels plutôt qu’à des éléments intéressants mais ponctuels et sans cohérence globale. Une intégration étroite avec MITRE signifie que les analystes obtiennent rapidement une vue d’ensemble du paysage des menaces et peuvent facilement suivre les étapes d’une attaque. Combinées aux scores de risque, les étiquettes (tags) MITREau niveau des anomalies aident les analystes à prioriser leur investigation et à se concentrer sur les incidents les plus critiques.

Regardez notre webinaire

Découvrez les questions fréquemment posées concernant l’ajout de Logpoint UEBA au SIEM.

Nous abordons les sujets suivants :

  • La valeur que Logpoint UEBA apportera à votre configuration et infrastructure IT actuelles
  • Les importantes difficultés qu’une solution d’apprentissage automatique (machine learning) UEBA permettra de résoudre au sein de votre entreprise
  • Quelle est la facilité d’utilisation et d’intégration avec le SIEM ?
  • Le mapping des anomalies UEBA avec le framework MITRE ATT&CK

Converged SIEM

Vous cherchez à consolider votre pile technologique ? Découvrez comment Logpoint UEBA s’intègre au SIEM, SOAR et bien plus encore. Converged SIEM aide les équipes SOC à combiner des ensembles de données provenant de plusieurs sources différentes. Au lieu d’utiliser plusieurs produits isolés, elles disposent désormais d’une source d’information unique (SSOT : Single Source Of Truth). Il s’agit de la seule plateforme unifiée qui offre des fonctionnalités SIEM + SOAR, UEBA, EDR ainsi qu’une surveillance de la sécurité SAP pour les entreprises et les MSSP.

  • Intégration complète des données pour un TDIR automatisé
  • Aucune intégration ou maintenance requise
  • Prise en charge de la conformité prête à l’emploi
  • Déploiement flexible en fonction de vos besoins

Tenez-vous au courant de l’actualité

  • Découvrez le côté obscur des DLL (Dynamic Link Library)

    En bref :Le chargement latéral de DLL (Dynamic Link Library) est une technique permettant d'exécuter des [...]

  • Dernière version de Logpoint : prenez le contrôle de vos opérations de sécurité

    Les entreprises dépendent de leurs analystes en sécurité pour détecter, investiguer et répondre à tout [...]

  • Illustration of a man sitting on a chair and working at a desk with a Logpoint on their screen.

    Le dilemme de l’architecture multitenant : obtenir plus de contrôle sur l’accès des utilisateurs sans compromettre l’isolation des données

    L’un des principaux défis auxquels sont confrontés les professionnels de la sécurité est le nombre [...]

  • Tout savoir sur la sécurité SAP

    Les entreprises utilisant SAP comme une application métier ou un système ERP y stockent souvent [...]