Anticiper les risques liés aux identités, données et infrastructures
- Détectez les menaces internes : qu’il s’agisse de menaces internes malveillantes ou des conséquences d’actions involontaires, détectez automatiquement les écarts par rapport aux comportements de référence.
- Découvrez les entités compromises : les anomalies dans vos systèmes IT ne passeront plus inaperçues pour éviter les perturbations opérationnelles, les attaques DDoS ou les pannes majeures.
- Empêchez le transfert et l’exfiltration de données : détectez les violations, découvrez les données consultées et par qui afin de rester conforme et d’éviter des amendes coûteuses.
Plus de 1 000 entreprises dans 70 pays font confiance à Logpoint
Logpoint Behavior Analytics pour renforcer votre posture de sécurité
Posture de sécurité renforcée
Accélérez la détection d’éventuels incidents sur votre réseau. Logpoint effectue le plus gros du travail en matière de surveillance et d’analyse des données brutes.
Détection des menaces internes
Repérez les incidents de sécurité ayant des comportements anormaux impossibles à identifier sans l’aide du Machine Learning.
Réponse plus rapide
Le score de risque haute-fidélité facilite le choix des alertes à investiguer en premier, réduisant ainsi le temps nécessaire au traitement des incidents.
Des investigations approfondies
Complétez les alertes avec des informations contextuelles, telles que de potentielles menaces, des privilèges utilisateur ou la fréquence, pour faciliter l’investigation.
Pas de faux positifs
Grâce à une analyse basée sur le profilage piloté par l’IA du comportement de groupe et des baselines, vous éliminez les faux positifs et réduisez la surproduction d’alertes (alert fatigue).
Tech stack consolidée
Behaviour Analytics est développé à partir de Logpoint SIEM, leur permettant ainsi de s’alimenter mutuellement et d’automatiser la cybersécurité de bout en bout.
Behavior Analytics vous fournit des informations complètes et maximise la valeur de vos données
Enrichir vos données de log
La corrélation des événements SIEM avec les données de Behaviour Analytics rend les événements d’origine plus pertinents que jamais. Les données de log d’origine sont enrichies grâce aux informations recueillies par la technologie de Machine Learning, vous permettant ainsi de découvrir des anomalies et des comportements suspects sur le réseau. Visualisez les incidents à l’aide de tableaux de bord et de modèles de recherche pour une chasse aux menaces plus rapide.
Détecter plus tôt les activités malveillantes
Behaviour Analytics crée des baselines pour le comportement normal de chaque utilisateur, groupe de pairs et entité du réseau au lieu d’appliquer des règles prédéfinies pour les actions standards. La technologie UEBA de Logpoint identifie les écarts dans les modèles de comportement, qui ne sont pas nécessairement immédiatement évidents et passent donc souvent inaperçus, afin de détecter rapidement les risques d’activité malveillante.
Améliorer les investigations d’incident
Grâce aux scores de risque calculés automatiquement et à la priorisation haute-fidélité des incidents, les investigations deviennent plus significatives. Plus le score est proche de 100, plus le comportement est risqué. Les analystes savent toujours quel incident investiguer en premier. Outre des délais de détection plus courts, Behaviour Analytics fournit des preuves plus exploitables lors des investigations et une plus grande efficacité et précision au niveau des alertes et des incidents générés.
Faciliter la réponse
Avec plus de contexte sur les potentielles menaces et les anomalies, il est plus facile pour les analystes de savoir comment répondre. Comme Behaviour Analytics s’intègre parfaitement à l’automatisation et à la gestion d’incident, vous pouvez effectuer des investigations approfondies et mettre en place des processus de réponse automatisés.
Les équipes SOC travaillent plus intelligemment et se concentrent sur les menaces importantes car, en cas de suspicion d’activité malveillante au niveau d’un utilisateur ou d’une entité, un processus de priorisation automatique démarre pour vérifier si l’utilisateur est sur la liste blanche et le bloque en cas de menace potentielle.
Behavior Analytics est différent
Taxonomie unique pour une utilisation plus facile
Construit sur la taxonomie Logpoint, aucune modification n’est requise dans votre infrastructure pour corréler les données et fournir des événements pour l’analyse UEBA.
Une longueur d’avance au niveau de la kill chain
Les analystes peuvent détecter les menaces persistantes avancées (APT) lorsque certains modèles de comportement se transforment en étapes d’une attaque éventuellement plus importante.
Données chiffrées pour rester conforme
Les données sont chiffrées avant de quitter le réseau, la clé de chiffrement et le texte no-clear restent. Logpoint répond aux exigences des normes SOC 2 Type II.
Détecter les menaces internes et externes à l’entreprise
Menaces internes
Un comportement s’écartant des références standards signale généralement un risque au niveau :
Insiders malveillants
Probablement la catégorie de menace interne la plus connue et la plus médiatisée. Il s’agit généralement d’entités qui profitent de leur accès privilégié aux ressources de l’entreprise pour causer des dégâts.
Insiders négligents
Il s’agit d’entités qui ne respectent pas les normes de sécurité ou les réglementations, ainsi que les utilisateurs qui choisissent de les ignorer. Par exemple, un employé qui égare son appareil lui permettant d’accéder à des informations critiques ou n’installe pas de mises à jour de sécurité parce que les politiques de sécurité de l’entreprise n’ont pas été définies, ouvre la porte en grand aux infiltrés qui utilisent son accès interne.
Menaces externes
Des écarts au niveau des modèles de comportement des utilisateurs et des entités, tels que le transfert de quantités anormales de données ou l’accès à des fichiers auxquels ils n’ont généralement pas accès, suggèrent qu’une entreprise a été compromise par une menace externe. Comme ils utilisent des identifiants légitimes, acquis via des attaques par force brute ou par vol, il n’est pas facile de les découvrir sans l’UEBA.
Comptes compromis
Les comptes compromis sont la conséquence de personnes externes qui ont accédé au compte d’un insider en volant ses identifiants, souvent par phishing. Ces personnes peuvent inciter un employé à cliquer sur un lien ou à ouvrir une pièce jointe à un email contenant un virus pour ensuite s’infiltrer.
Menaces persistantes avancées (APT)
Un adversaire obtient un accès non autorisé à un réseau informatique et reste indétectable pendant une période prolongée. Une fois qu’il aura infiltré le réseau, il tentera de créer des backdoors. Il est donc crucial de surveiller tout comportement anormal au niveau des utilisateurs et des entités.
MITRE ATT&CK
Toutes les anomalies détectées par notre UEBA sont mappées avec le framework MITRE ATT&CK, une classification, standard du secteur, des tactiques et techniques des adversaires, basée sur des observations réelles de différentes cyberattaques.
Logpoint Behavior Analytics associe les algorithmes d’apprentissage automatique (ML) à des scénarios pratiques plutôt qu’à des éléments ponctuels et non cohérents. De cette manière, les analystes obtiennent rapidement une vue d’ensemble du paysage des menaces afin de suivre plus facilement les différentes étapes d’une potentielle attaque. En combinant le score de risque avec les tags MITRE sur les anomalies, les analystes priorisent leur investigation et se concentrent sur les incidents les plus critiques.
Du SIEM à la cyberdéfense
Vous cherchez à consolider votre tech stack (pile technologique) ? Découvrez comment Logpoint SIEM s’intègre à l’automatisation, à la gestion d’incident et à l’analyse comportementale au niveau d’une seule plateforme qui combine des ensembles de données provenant de plusieurs sources différentes. Au lieu d’utiliser plusieurs produits indépendants, vous pouvez unifier vos besoins de sécurité via une source d’information unique (SSOT : Single Source Of Truth).
- Intégration complète des données pour un TDIR automatisé.
- Aucune intégration ou maintenance requise.
- Prise en charge de la conformité prête à l’emploi.
- Déploiement flexible en fonction de vos besoins.
