Logpoint
UEBA

UEBA header image

Détection des menaces inconnues et internes grâce à l’UEBA (User and Entity Behavior Analytics)

Les attaques avancées et les menaces omniprésentes visant votre entreprise utilisent souvent des identifiants compromis ou bien incitent les utilisateurs à effectuer des actions qui nuisent à la sécurité de celle-ci. Pour identifier de telles attaques, vous avez besoin d’une solution robuste qui permette aux analystes de distinguer rapidement une activité normale d’une autre qui serait, quant à elle, anormale au sein de votre réseau.

Logpoint UEBA améliore l’investigation des modèles inhabituels au niveau du comportement des utilisateurs tout en réduisant le temps consacré à la chasse aux menaces. Cette solution permet également de mitiger les risques, de minimiser les dommages et la perte de données en détectant les attaques avancées à un stade précoce.

Contacter Logpoint

Contactez-nous et découvrez
pourquoi les entreprises
leaders dans leur secteur
choisissent Logpoint:

Contacter Logpoint

Améliorez les opérations de sécurité grâce à la détection automatisée des menaces

L’UEBA (User and Entity Behavior Analytics) aide les analystes en sécurité à détecter facilement les comportements suspects et les incidents de sécurité que d’autres solutions ne parviennent pas à repérer.

Grâce au machine learning avancé, l’UEBA crée des références concernant le comportement normal de chaque utilisateur, groupe de pairs et entité du réseau au lieu d’appliquer des règles prédéfinies concernant un comportement standard. En évaluant les écarts en termes d’activité par rapport à ces références, l’UEBA détecte les comportements anormaux et à risque qui ne sont pas forcément flagrants à première vue. Il définit des scores de risque pour les utilisateurs et les machines et compare les comportements en termes d’utilisation par rapport à leurs pairs.

Logpoint UEBA calcule les scores de risque en utilisant une plage allant de 0 à 100 au lieu de passer par une échelle variable, facilitant ainsi les activités de priorisation menées par les analystes en sécurité. Plus le score est proche de 100, plus le comportement est à risque.

L’UEBA fournit une détection plus personnalisée concernant chaque utilisateur et entité sélectionnés afin que les analystes puissent repérer, prioriser et gérer plus facilement les anomalies. Il facilite la vie de vos analystes en accélérant considérablement la chasse aux menaces et le temps de réponse, en réduisant la désensibilisation aux alertes (alert fatigue) et en les incitant à se concentrer sur la gestion des menaces nécessitant une attention particulière.

Découvrez plus en détail le fonctionnement de l'UEBA

Pourquoi Logpoint UEBA ?

Taxonomie unique

Normalization - single taxonomy (1)

Notre SIEM-SOAR et l’UEBA sont construits sur la taxonomie Logpoint, donc aucune modification n’est nécessaire au sein de votre infrastructure pour faire correspondre les données et fournir des événements pour l’analyse UEBA.

Un time-to-value (TTV) inégalé

Time-to-value

Bénéficiez d’un UEBA opérationnel dans Logpoint dès le premier jour, sans aucune intégration longue ou coûteuse. Il n’est pas nécessaire d’ajuster et de modifier les règles de détection statique.

Transfert de données chiffré

Encrypted data transfer

Pour votre sécurité, les données sensibles sont chiffrées avant de quitter le réseau. La clé de chiffrement reste sur votre réseau et aucune donnée en clair ne quitte votre infrastructure.

Watch our webinar

Regardez notre webinaire pour vous permettre de parcourir les questions fréquemment posées concernant l’ajout de Logpoint UEBA à une solution SIEM.

Nous avons abordé des sujets tels que:

  • La valeur que l’UEBA apportera à votre configuration et infrastructure IT actuelles.
  • Les points faibles qu’une solution de machine learning UEBA résoudra au sein de votre entreprise.
  • La facilité d’utilisation et d’intégration au SIEM.
  • Les anomalies de mapping UEBA avec le framework MITRE ATT&CK.

La puissance de l’UEBA et du SIEM-SOAR pour renforcer votre posture de sécurité

Les produits Logpoint fonctionnent ensemble pour générer des connaissances des plus pertinentes. L’UEBA est un outil complémentaire, disponible en plus de Logpoint SIEM, utilisant des algorithmes avancés pour étendre les capacités de la solution SIEM-SOAR solution et maximiser la valeur de vos données.

infographic UEBA&SIEM&SOAR

Enrichir vos données SIEM

La corrélation des données de l’UEBA avec les événements SIEM rend les événements d’origine plus pertinents que jamais. Les données de log d’origine peuvent être enrichies à l’aide des informations provenant de la technologie de machine learning UEBA, vous permettant ainsi de découvrir les comportements suspects des utilisateurs. Les incidents peuvent être visualisés à l’aide de tableaux de bord et de modèles de recherche pour une chasse aux menaces plus rapide.

Économisez un temps précieux lors de la chasse aux menaces

Une solution SIEM améliorée par l’UEBA permet de consacrer moins de temps à l’élimination des faux positifs et réduit considérablement le temps de détection et de réponse. De plus, la mise en place de réponses automatisées avec l’aide du SOAR rend cette chasse encore plus efficace. Donnez à votre équipe SOC les moyens de travailler plus intelligemment et de se concentrer sur les menaces importantes.

Détectez immédiatement les menaces internes

Découvrez rapidement et efficacement les comportements anormaux au sein de votre réseau. Inutile de créer des règles compliquées et prédéfinies pour vous alerter sur les comportements suspects. Chaque individu a des habitudes différentes, donc créer une longue liste de ce qui est autorisé serait long et difficile, surtout si vous employez des centaines de personnes dans le monde entier.

Les menaces internes peuvent être détectées au mieux en utilisant des capacités de détection concernant d’autres utilisateurs et entités au sein du réseau. Si un individu se comporte hors de la norme organisationnelle, une telle situation suggère un comportement anormal et doit faire l’objet d’une investigation.

Malicious-insiders-white

Malicious Insiders

probablement la catégorie de menaces internes la plus connue et la plus médiatisée. Il s’agit généralement des entités qui profitent de leur accès privilégié aux ressources de l’entreprise pour porter préjudice à celle-ci.

Negligent Insiders

Il s’agit des entités qui n’ont pas de stratégie de sécurité, ne respectent pas les réglementations et les normes, etc. Souvent, elles ne savent pas, par exemple, si les politiques de sécurité de l’entreprise ont été correctement déployées.

Infiltrators

Infiltrators

Il s’agit d’acteurs qui sont, dans la pratique, des personnes externes, qui obtiennent intentionnellement un accès privilégié, souvent de manière temporaire, pour atteindre leurs objectifs.

Les menaces externes peuvent être détectées par les modèles de comportement des utilisateurs et des entités. Si un compte est compromis ou qu’un adversaire a accédé à un serveur, il est probable que les comportements soient différents si un autre acteur est à l’origine de ces activités.

Malicious-insiders-white

Compromised Accounts

Les comptes compromis désignent des tiers qui ont eu accès au compte d’un insider.

Advanced Persistent Threats

Un adversaire obtient un accès non autorisé à un réseau informatique et reste non détecté pendant une période prolongée.

Dans l’UEBA, le framework MITRE ATT&CK est utilisé pour montrer les types d’anomalie trouvés. Voici certaines des menaces les plus courantes que l’UEBA parvient à combattre avec succès à partir de MITRE ATT&CK :

Accès initial

Détecter et empêcher les adversaires d’accéder à votre réseau et d’obtenir un accès continu à un compte interne.

Mouvement latéral

Détecter si des adversaires tentent d’accéder à votre réseau et de se déplacer sur celui-ci pour obtenir un accès supplémentaire aux systèmes et aux comptes.

Persistance

Détecter les tentatives pour conserver l’accès aux systèmes même lors du redémarrage du système ou de la modification des identifiants.

Command & Control

Détecter et empêcher les adversaires de prendre le contrôle de votre réseau en imitant les comportements courants au sein de ce dernier avec l’intention de prendre le contrôle de vos systèmes.

Exfiltration

Détecter si un individu essaie de voler des données présentes sur votre réseau.

Mitre ATT&CK info

Testez les avantages de la solution UEBA de Logpoint

Pour en savoir plus sur les avantages de notre solution UEBA et sur les différentes options de téléchargement, demandez une démo personnelle.

Demandez une démo

Reconnu par des milliers d’entreprises. Nous en protégeons des millions.

Konica_Minolta
Captivate-Logo
Boeing-Logo
GoSecure Logo
Airbus-Logo