Logpoint UEBA : Détectez rapidement les menaces internes et inconnues.

Accélérez la détection et la réponse aux menaces en repérant les signes annonciateurs de modèles suspects et de comportements anormaux avec une solution UEBA (User and Entity Behavior Analytics) avancée.

Obtenez une analyse approfondie des tentatives de connexion suspectes ayant réussi ou échoué, des attaques par force brute, de l’utilisation anormale de programmes ou du premier accès à ces derniers, des transactions et systèmes, ainsi que des modèles inhabituels au niveau de l’activité globale des utilisateurs.

Identification rapide des modèles de menace pour réduire efficacement les risques

Les attaques avancées et les menaces omniprésentes qui pèsent sur votre organisation impliquent souvent des identifiants compromis ou bien utilisent une contrainte exercée sur les utilisateurs pour qu’ils effectuent des actions qui vont nuire à la sécurité de l’entreprise. Pour identifier de telles attaques, vous avez besoin d’une solution robuste qui permette à l’équipe de sécurité de déterminer rapidement si l’activité est normale ou anormale sur votre réseau.

Logpoint UEBA vous aide à améliorer l’investigation des modèles comportementaux inhabituels tout en réduisant le temps consacré à la chasse aux menaces. Réduisez les risques, les dommages et les pertes de données en détectant le plus tôt possible les attaques avancées.

L’UEBA travaille avec Logpoint SIEM pour vous fournir des aperçus complets et maximiser la valeur de vos données.

Enrichir vos données SIEM

La corrélation des données de l’UEBA avec les événements SIEM rend les événements de départ plus pertinents que jamais. Les données de log d’origine peuvent être enrichies à l’aide des informations fournies par la technologie d’apprentissage automatique(machine learning) de l’UEBA, vous permettant ainsi de découvrir les comportements suspects des utilisateurs. Les incidents peuvent être visualisés à l’aide de tableaux de bord et de modèles de recherche pour une chasse aux menaces plus rapide.

Des investigations plus rapides et efficaces

En plus des délais de détection plus courts, le SIEM + UEBA fournit des preuves plus exploitables lors des investigations ainsi qu’une efficacité et une précision renforcées au niveau des alertes et des incidents générés. De plus, la mise en place de réponses automatisées avec l’aide du SOAR améliore l’efficacité globale, permettant ainsi à votre équipe SOC de travailler plus intelligemment et de se concentrer sur les menaces véritablement importantes.

Repérer rapidement les activités malveillantes

Logpoint UEBA établit des règles de base concernant le comportement normal de chaque utilisateur, groupe de pairs et entité du réseau au lieu d’appliquer des règles prédéfinies définissant un comportement standard. En identifiant les écarts, Logpoint UEBAdétecte rapidement les schémas anormaux, qui ne sont pas forcément immédiatement évidents et qui peuvent donc passer souvent inaperçus.

Faciliter la priorisation

Logpoint UEBA calcule des scores de risque pour aider les analystes à progresser et à prioriser efficacement les incidents. Plus le score est proche de 100, plus le comportement est risqué.

Menaces internes

Les menaces internes sont généralement détectées en repérant un comportement qui s’écarte des règles de base standardisées.

Les Insiders malveillants
Probablement la catégorie de menaces internes la plus connue et la plus médiatisée. Il s’agit généralement d’entités qui profitent de leur accès privilégié aux ressources de l’entreprise pour lui porter préjudice.

Les Insiders négligents
Des entités qui ne mettent en œuvre aucune démarche en matière de sécurité, ne suivent pas les règlementations et les normes, etc. Souvent, ces derniers ne savent pas, par exemple, si les politiques de sécurité de l’entreprise ont correctement été définies.

Infiltrateurs
Des acteurs qui sont, en pratique, des outsiders, et qui obtiennent intentionnellement un accès interne, souvent temporairement, pour atteindre leurs objectifs.

Menaces externes

Les menaces externes sont mieux détectées grâce aux éventuelles déviations identifiées au niveau des modèles de comportement des utilisateurs et des entités. Si un compte est compromis ou si un adversaire a accédé à un serveur, il y a de fortes chances que le comportement soit différent des règles de base standardisées.

Comptes compromis
Les comptes compromis sont des personnes extérieures (outsiders) qui ont obtenu l’accès au compte d’un insider.

Menaces persistantes avancées (APT : Advanced Persistent Threats)
Un adversaire obtient un accès non autorisé à un réseau informatique et reste non détecté pendant une période pouvant être assez longue.

MITRE ATT&CK

Toutes les anomalies au niveau de l’UEBA sont mappées avec le framework MITRE ATT&CK, une classification des tactiques et techniques adverses, standardisée au niveau du secteur, et basée sur des observations réelles de différentes cyberattaques.

Logpoint UEBA associe les algorithmes d’apprentissage automatique (machine learning) à des scénarios concrets et réels plutôt qu’à des éléments intéressants mais ponctuels et sans cohérence globale. Une intégration étroite avec MITRE signifie que les analystes obtiennent rapidement une vue d’ensemble du paysage des menaces et peuvent facilement suivre les étapes d’une attaque. Combinées aux scores de risque, les étiquettes (tags) MITREau niveau des anomalies aident les analystes à prioriser leur investigation et à se concentrer sur les incidents les plus critiques.

Regardez notre webinaire

Découvrez les questions fréquemment posées concernant l’ajout de Logpoint UEBA au SIEM.

Nous abordons les sujets suivants :

  • La valeur que Logpoint UEBA apportera à votre configuration et infrastructure IT actuelles
  • Les importantes difficultés qu’une solution d’apprentissage automatique (machine learning) UEBA permettra de résoudre au sein de votre entreprise
  • Quelle est la facilité d’utilisation et d’intégration avec le SIEM ?
  • Le mapping des anomalies UEBA avec le framework MITRE ATT&CK

Converged SIEM

Vous cherchez à consolider votre pile technologique ? Découvrez comment Logpoint UEBA s’intègre au SIEM, SOAR et bien plus encore. Converged SIEM aide les équipes SOC à combiner des ensembles de données provenant de plusieurs sources différentes. Au lieu d’utiliser plusieurs produits isolés, elles disposent désormais d’une source d’information unique (SSOT : Single Source Of Truth). Il s’agit de la seule plateforme unifiée qui offre des fonctionnalités SIEM + SOAR, UEBA, EDR ainsi qu’une surveillance de la sécurité SAP pour les entreprises et les MSSP.

  • Intégration complète des données pour un TDIR automatisé
  • Aucune intégration ou maintenance requise
  • Prise en charge de la conformité prête à l’emploi
  • Déploiement flexible en fonction de vos besoins

Tenez-vous au courant de l’actualité

  • Text4Shell : détection de l’exploitation de CVE-2022-42889

    –Anish Bogati & Nilaa Maharjan; Security ResearchIndexRémanence de Log4Shell ?PoC de CVE-2022-42889Détection de Text4shell à l'aide de LogpointAppliquez les mesures [...]

  • Chasse, prévention et réponse au malware IcedID avec Logpoint

    Par Nilaa Maharjan, Security ResearchIndex·       Pourquoi cette menace est-elle sérieuse ?Ice-breaker #1 : diffusion d'IcedID via le formulaire de contactIce-breaker [...]

  • Améliorez la découverte et la détection de comportements inhabituels avec la nouvelle version de Logpoint UEBA

    Par Ira Lisa Kristina Leino, Product Marketing ManagerLogpoint UEBA améliore l'investigation des menaces inconnues et internes et des schémas inhabituels. [...]

  • Chassez les différentes versions de LockBit avec Logpoint

    – Anish Bogati & Nilaa Maharjan; Logpoint Global Services & Security ResearchRésumé:LockBit a été considéré comme le ransomware le plus [...]