Conformité PCI-DSS

La norme internationale PCI-DSS (Payment Card Industry Data Security Standard) assure la protection des données d’un titulaire de carte contre une utilisation abusive ou un vol potentiel.

Pour les entreprises gérant des transactions par carte de paiement, il est essentiel de se conformer à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) pour rester pleinement opérationnel. Pour rester en conformité, la norme PCI-DSS exige de :

  • Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  • Sécuriser les pistes d’audit (audit trails) afin qu’elles ne puissent pas être modifiées.
  • Tester régulièrement les systèmes et processus de sécurité.
  • Déployer des outils de surveillance de l’intégrité des fichiers pour alerter le personnel en cas de modification non autorisée de fichiers système critiques, de fichiers de configuration ou de fichiers de contenu.
  • Configurer le logiciel pour effectuer des comparaisons de fichiers critiques au moins une fois par semaine.

Répondre à ces attentes peut être difficile, long et coûteux, mais ce n’est pas forcément le cas pour les utilisateurs de LogPoint.

Assistance à l’audit

La conservation native des logs par la solution SIEM de LogPoint permet de stocker les informations d’alerte et d’événement pour une analyse post-mortem ultérieure des incidents ou des activités suspectes. De cette façon, il est considérablement plus facile d’atteindre les objectifs de conformité de la norme PCI DSS en matière d’audit des modifications et de la conservation des logs.

Surveillance de l’activité des utilisateurs

La surveillance de l’activité des utilisateurs est depuis longtemps l’élément crucial de toute stratégie de défense efficace. De par sa conception, LogPoint fournit aux analystes un outil intuitif et puissant pour identifier les activités malveillantes, créer des alertes, des tableaux de bord et des rapports, afin qu’ils puissent avoir une vue d’ensemble et contre-attaquer immédiatement.

La surveillance de l’activité des utilisateurs pour la protection des données et le respect des réglementations, se concentre principalement sur les activités associées à l’accès aux fichiers. LogPoint peut surveiller ces éléments à l’aide des enregistrements d’audit d’accès aux objets natifs. De plus, l’application FIM de LogPoint surveille toutes les tentatives d’accès aux systèmes de partage de fichiers privilégiés et fournit des informations sur le type d’accès et les actions effectuées dans le fichier en question. Enfin, les sommes de contrôle (checksums) d’origine et celles modifiées peuvent également être comparées pour mieux comprendre le comportement au niveau de l’accès.

Exemple

Tentatives d’accès aux objets

LogPoint SIEM use cases Object access attempts

Sources de logs : Windows Server

Requête

label=Object label=Access | chart count() by user, access, object order by count() desc

Identification des indicateurs de menace associés à la charge virale utilisée par le malware

Le FIM de LogPoint est un outil efficace pour surveiller la création de nouveaux fichiers ou la modification de l’extension de fichier indiquant ainsi qu’une charge virale associée à un malware est en cours d’exécution. La valeur de hachage donnée par la surveillance d’intégrité (Integrity Monitor) peut être comparée à la base de données Virus Total, identifiant ainsi la menace associée.

LogPoint SIEM use cases Executed malware payload
LogPoint SIEM use cases Executed malware payload

Sources de logs : FIM, Virus Total

Surveillance des connexions réseau non autorisées et suspectes

De par sa conception, LogPoint vous permet de détecter tout comportement réseau suspect et/ou non autorisé, comme les tentatives de connexion au niveau de ports fermés, les connexions internes bloquées, les connexions établies vers des destinations connues comme étant à risque, les requêtes initiées à partir de zones non approuvées, des accès suspects au système, etc.

Exemple

Connexions refusées depuis Internet

LogPoint SIEM use cases Denied connections from the internet

Sources de logs : Firewall

Requête

label=Connection label=Deny | process compare_network(source_address, destination_address) | search source_address_public=true | chart count() by source_address order by count() desc limit 10