ManageEngine annonce que sa solution de gestion des informations et des évènements de sécurité (SIEM) Log360 a été renforcée au travers d’une approche repensée de la détection des menaces. Cette amélioration intervient dans le cadre d’une refonte majeure visant à répondre aux besoins des centres d’opérations de sécurité (SOC) de nouvelle génération.

« Le principal défi auquel sont actuellement confrontées les équipes de sécurité ne réside pas dans la collecte des données, mais dans la capacité à trier le bon grain de l’ivraie », explique Manikandan Thangaraj, vice-président de ManageEngine. « Nous avons transformé notre système de détection non seulement pour créer des règles plus complexes, mais également accroître l’efficacité des SOC et doter leurs équipes de capacités de réglage des règles à la fois flexibles et granulaires, au-delà des simples seuils. Par cette avancée, les analystes des SOC peuvent filtrer et éliminer les alertes non pertinentes sans pénaliser leur capacité à détecter de véritables compromissions. Cette approche nous permet de nous focaliser sur la recherche ciblée des menaces réelles en faisant en sorte d’assurer une protection efficace et non une surveillance élémentaire, 24 heures sur 24 et 7 jours sur 7. »

Parmi les nouvelles fonctionnalités dont bénéficie Log360 figurent une console de détection centralisée, des filtres de règles au niveau objet et plus de 1 500 règles de détection prédéfinies appliquées et mises à jour en continu à partir du cloud. Cette mise à niveau jette également les bases d’une évolutivité d’entreprise avec une architecture à plusieurs niveaux, une fonction de traitement des journaux basé sur les rôles et une collecte centralisée des données sur plusieurs sites ; de telles améliorations garantissent un haut niveau de performances et de résilience à mesure que les sources de données et le volume des journaux augmentent.

Principaux points forts de la mise à niveau de Log360

  • Détection repensée : Log360 s’enrichit d’une console de détection unifiée qui réunit sur un seul et même écran tous les contenus de détection — règles alignées sur le référentiel MITRE ATT&CK, logique de corrélation, informations relatives à l’analyse comportementale des utilisateurs et des entités (UEBA), et flux de renseignements sur les menaces. Les équipes des centres des opérations de sécurité peuvent créer des règles de détection standard, basées sur des anomalies ou avancées grâce à une interface graphique interactive sans qu’il soit nécessaire de rédiger des requêtes complexes. Applicables aux utilisateurs, groupes et unités d’organisation (OU) d’Active Directory, des filtres au niveau objet garantissent la surveillance en continu des identités à forte valeur tout en supprimant les bruits de fond basse priorité.
  • Contenus déployés dans le cloud : plus de 1 500 règles prédéfinies couvrent un large éventail de cas d’utilisation, de l’escalade des privilèges aux mouvements latéraux et de la compromission des terminaux aux attaques SaaS. Ces règles sont étudiées, gérées et testées en interne par l’équipe de recherche sur les menaces de ManageEngine pour en garantir la précision et minimiser le nombre de faux positifs. Elles sont appliquées via un mécanisme d’actualisation basé sur le cloud, de sorte que les utilisateurs bénéficient en permanence de la version la plus récente. L’adoption de règles de détection basées sur SIGMA est également incluse dans cette solution.
  • Architecture d’entreprise à plusieurs niveaux : les améliorations apportées à l’architecture de Log360 assurent une évolutivité horizontale grâce à des clusters de traitement des journaux et un traitement à base de rôles (corrélation, enrichissement, alertes) tout en permettant de centraliser la collecte d’informations à partir de sites distribués. Cette approche garantit la continuité des performances, même dans les grandes entreprises géographiquement dispersées.