Nouvelles fonctionnalités :
Le moteur de corrélation a été complètement mis à niveau pour vous apporter une détection des attaques complexes sur tous les périphériques de votre réseau, une amélioration au niveau de la corrélation des champs, des rapports d'incidents améliorés avec vue 'timeline', et bien plus encore:
- Prise en charge de plusieurs formats de journaux : la corrélation est maintenant effectuée sur plusieurs formats de journaux, ce qui vous permet de corréler les journaux des systèmes Windows et Unix, des périphériques réseau, etc.
- Corrélation améliorée au niveau du champ : La corrélation peut être établie à partir de plusieurs valeurs de champs de logs pour fournir une détection d'attaque encore plus précise.
- Règles prédéfinies : Le module est packagé avec 25 modèles d'attaque complexes prédéfinis.
- Générateur de règles personnalisées : Le générateur de règles de corrélation personnalisées a été mis à niveau pour inclure plus de 250 actions réseau prédéfinies et des filtres avancés.
- Vérifiez si des valeurs de champ uniques, constantes ou partagées sont présentes parmi les actions qui composent une règle.
- Utilisez des conditions de comparaison multiple pour les champs, à savoir "égal","non égal à","commence par" ou "se termine par".
- Créez des règles pour des types de journaux individuels à l'aide d'actions réseau spécifiques ou des règles communes à tous les types de journaux avec des actions réseau génériques.
- Intégration de la gestion des incidents : toutes les alertes de corrélation peuvent être visualisées et gérées à l'aide de la console de gestion des incidents intégrée.
Améliorations :
- L'interface utilisateur de corrélation a été mise à jour avec un tout nouveau 'look & feel', incorporant toutes les nouvelles fonctionnalités ci-dessus.
- Le temps entre chaque paire d'actions individuelles peut maintenant être spécifié lors de la création d'une règle.
Plus d'information ici