SIEM：网络攻击检测

如果您正在寻找一种能够检测环境中的网络威胁、发送实时警报并自动执行事件响应的网络攻击检测平台，Log360 SIEM解决方案可以完成所有这些以及更多，能够准确检测安全威胁并遏制网络攻击。

网络攻击检测能力

• 基于规则的攻击检测
• MITRE ATT&CK 实现来检测 APTS
• 基于 ML 的行为分析

基于规则的攻击检测

使用从 Log360 强大的关联引擎获得的数据分析威胁，该平台与全面的威胁情报平台集成，可减少误报和功能：

• 内置的实时关联引擎，包括 30 多个预定义规则，用于检测已知攻击，例如 SQL 注入、拒绝服务和防火墙攻击。
• 具有直观拖放界面的自定义关联规则构建器，用于构建新的关联规则。
• 检测到事件时，实时电子邮件和短信通知会及时发送给安全管理员。
• 一种将工作流配置文件与关联规则相关联以实现即时修复的简单方法。

MITRE ATT&CK 实现来检测 APTS

Log360 支持MITRE ATT&CK框架，该框架可追踪和发现入侵者，并提供：

• 与 MITRE 的 TTP 数据库绑定的实时安全分析仪表板，可快速调查可疑活动。
• 一个关联规则构建器，配备了映射到 MITRE 技术的预构建操作，以跟踪攻击者的移动。
• 一种将工作流配置文件与 MITRE ATT&CK 操作相关联以实现即时事件响应的简单方法。

基于 ML 的行为分析

发现并阻止恶意内部威胁、帐户泄露、权限滥用和误用、未经授权的数据访问和泄露，并从以下方面获益：

• 自动机器学习操作，可监视用户和实体行为，跟踪异常和可疑行为，并及时提醒安全管理员可疑活动。
• 集成风险管理，为每个异常分配风险评分。
• 针对高风险评分和非典型行为的实时通知。
• 监视列表用户和实体以密切监视其活动的选项。

攻击检测使用案例

• 检测恶意软件攻击
• 使用 MITRE ATT&CK 实现检测数据泄露
• 利用机器学习发现恶意内部人员

检测恶意软件攻击

恶意软件是现代世界中最持久的网络威胁之一。随着新恶意软件的出现，检测它仍然是一个挑战。Log360 利用其预定义的关联规则揭示网络中恶意软件的存在。它可以发现恶意行为者安装的可疑软件或服务，立即向安全管理员发出警报，并提供详细的事件时间表以供调查。此解决方案还允许您关联工作流配置文件以停止服务或进程，从而促进即时事件响应。

使用 MITRE ATT&CK 实现检测数据泄露

通常，当攻击者试图将被盗数据离开您的网络边界时，会检测到执行高级和复杂攻击的攻击者。Log360 会实时发现并提醒您的安全团队数据勒索。该解决方案监控安全事件并发现诸如通过替代协议 （T1048） 进行的数据泄露以及网络中异常数据流等技术。如果任何应用程序发送的流量多于接收的流量，这将被视为可疑，并且将触发警报以警告安全团队可能存在安全威胁。

利用机器学习发现恶意内部人员

利用机器学习发现恶意内部人员 发现内部攻击更加困难，因为它们是通过合法访问权限进行的。Log360 的 UEBA 组件在一段时间内摄取用户的日志数据，并分析他们的所有行为。当检测到一系列可疑行为（例如奇数登录时间、对敏感数据的异常访问或多个文件下载）时，用户的内部威胁风险评分会增加，并且安全团队会收到警报,还提供了详细的事件时间线以供进一步调查。

为什么选择 Log360 进行攻击检测

• 利用 200 多个直观的安全仪表板深入了解安全事件。
• 获取有关已知入侵和攻击指标的实时通知，并查看具有详细时间表的可操作报告。
• 监控日志以发现基于 MITRE ATT&CK 框架的攻击。
• 使用警报工作流自动响应事件。
• 利用自动工单分配和内置跟踪解决 Log360 中的事件。
• 揭露源自内部攻击、帐户泄露和数据泄露的威胁。
• 监控特权用户活动，并接收异常事件的实时警报。

Log360 SIEM 解决方案，具有集成的 DLP 和 CASB 功能，可检测、确定优先级、调查和响应安全威胁。它结合了威胁情报、基于机器学习的异常检测和基于规则的攻击检测技术来检测复杂的攻击，并提供事件管理控制台来有效修正检测到的威胁。通过其直观和高级的安全分析和监控功能，提供跨本地、云和混合网络的整体安全可见性。