Nouvelles fonctionnalitées :
EventLog Analyzer introduit désormais une console exclusive d'investigation des menaces pour des analyses contextuelles avancées avec de multiples intégrations. Cette console est appelée "Incident Workbench" et peut être appelée à partir de plusieurs tableaux de bord d'EventLog Analyzer. Les fonctionnalités sont les suivantes :
- Analyse du comportement de l'utilisateur et aperçu de l'activité : Cette analyse est offerte grâce à l'intégration de l'UEBA de la suite Log360.
- Analyse des processus : Cette analyse consiste en la création de processus avec des arbres de processus parents-enfants disponibles dans plusieurs formats graphiques.
- Analyse des menaces : Cette analyse est proposée grâce à l'intégration de l'analyse avancée des menaces d'EventLog Analyzer pour une analyse approfondie des risques liés aux adresses IP, aux URL et aux domaines. En plus de l'analyse des menaces disponible sous Log360 Cloud Threat Analytics, l'intégration de VirusTotal, l'un des plus grands flux de menaces en direct, est également introduite dans cette version et sera disponible dans l'Incident Workbench.
Les utilisateurs peuvent ajouter jusqu'à 20 onglets analytiques dans une seule instance de l'Incident Workbench et les enregistrer dans les incidents en tant que preuves de menaces.
Résumé des dispositifs
EventLog Analyzers propose désormais une console analytique permettant de visualiser l'ensemble des événements récapitulatifs de l'appareil. Cette console peut être appelée à partir de plusieurs tableaux de bord d'EventLog Analyzer. Les utilisateurs peuvent trouver un résumé des événements pour la période sélectionnée, les utilisateurs les plus actifs, les événements de surveillance des fichiers, les événements de gravité de l'appareil, un résumé des alertes et une vue d'ensemble de l'activité pour les applications configurées dans l'appareil.
Améliorations :
- Ensemble de règles de corrélation
EventLog Analyzer ajoute désormais plus de 50 nouvelles règles de corrélation prédéfinies qui complètent les nouvelles fonctionnalités mises en place pour améliorer la détection des menaces. Ce nouveau paquet comprend des règles de détection des processus suspects, de l'utilisation d'outils d'attaque courants tels que Mimikatz et Metasploit, et des mécanismes de survie avec l'exploitation d'outils et d'utilitaires binaires natifs. - Actions de workflow ADMP
Le générateur de profils de flux de travail d'EventLog Analyzer prend désormais en charge les actions Active Directory à l'aide de l'intégration ManageEngine ADManager Plus. Les utilisateurs peuvent prendre des mesures correctives en utilisant les profils de flux de travail prédéfinis pour effectuer des actions telles que l'activation ou la désactivation d'utilisateurs et d'ordinateurs, la restauration de mots de passe d'utilisateurs, l'ajout d'utilisateurs à des groupes et la suppression d'utilisateurs et d'ordinateurs.
Plus d'information ici