Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.

Change Auditor Threat Detection

Détectez de manière proactive les menaces de sécurité liées aux utilisateurs dans vos environnements Microsoft

La solution Change Auditor Threat Detection propose une approche inédite de détection des menaces utilisateur en modélisant les schémas des comportements de chaque utilisateur afin de détecter les activités anormales pouvant révéler des utilisateurs suspects ou des comptes corrompus. Change Auditor Threat Detection analyse les activités des utilisateurs en utilisant l’apprentissage automatique avancé, l’analyse des comportements des utilisateurs et des entités (UEBA), et des algorithmes d’évaluation complexes. Ainsi, il classe les utilisateurs de l’organisation en fonction des risques qu’ils présentent, identifie les menaces potentielles liées aux utilisateurs et réduit les faux positifs. Vous pouvez combler les lacunes laissées par les outils d’audit natifs et protéger l’ensemble de votre environnement.

Détectez les menaces rapidement et facilement, notamment :

Exfiltration de données

Identifiez facilement les utilisateurs ou comptes compromis qui tentent de dérober ou de détruire des données.

Logiciels malveillants

Reconnaissez rapidement les tentatives de prise de contrôle des comptes utilisateurs et des privilèges par des logiciels malveillants.

Abus des comptes à privilèges

Localisez un programme ou un script ayant pris le contrôle des identifiants d’un utilisateur.

Attaques par force brute

Identifiez les pirates en établissant une corrélation entre les événements de sécurité récurrents et les alertes liées.

Élévation de privilèges

Détectez les élévations de privilèges inappropriées en mettant en avant les événements et les actions des utilisateurs qui y sont liés.

Activité anormale dans Active Directory

Identifiez rapidement les activités suspectes des utilisateurs dans AD.

Mouvement latéral

Localisez les pirates en comparant les schémas de comportements anormaux avec les références utilisateur.

Accès inapproprié au système ou aux ressources

Lancez des alertes sur les utilisateurs qui tentent d’accéder à des données dont ils n’ont pas besoin.

Fonctionnalités de détection des menaces

Analyse des logs d’audit

Analyse des logs d’audit en temps réel

Analysez efficacement un volume élevé de données d’audit en temps réel, notamment les modifications d’Active Directory, les authentifications et les activités effectuées sur les fichiers. Créez des bases de référence sur les utilisateurs à partir de ces données d’activités brutes afin de détecter de manière proactive les comportements inhabituels des utilisateurs et identifier immédiatement des activités suspectes potentielles.

Analyse des comportements des utilisateurs et des entités (UEBA)

Analyse automatisée du comportement des utilisateurs

Modélisez les schémas d’activité des utilisateurs sans intervention d’un administrateur ni configuration. Les bases de référence des comportements des utilisateurs sont automatiquement créées via un apprentissage automatique avancé non supervisé, en modélisant tous les aspects des activités de chaque utilisateur, notamment ses modèles de connexion, ses activités d’administration et ses accès aux dossiers.

Détection des anomalies

Détection sophistiquée des comportements inhabituels

Identifiez les activités anormales des utilisateurs en comparant automatiquement chaque action de l’utilisateur avec la base de référence de son comportement. La détection sophistiquée d’indicateurs de menaces et la notation des risques à plusieurs niveaux permettent de signaler uniquement les anomalies flagrantes qui représentant des comportements risqués des utilisateurs.

Détection des menaces liées aux utilisateurs

Détection des menaces basée sur des modèles

Au lieu d’utiliser des règles pour détecter des activités particulières, analysez automatiquement toutes les activités des utilisateurs au fur et à mesure qu’elles se produisent. Identifiez les utilisateurs suspects de l’environnement au moyen d’une détection sophistiquée. La modélisation globale sophistiquée permet de signaler uniquement les comportements inhabituels et inquiétants des utilisateurs, et ainsi de réduire de manière significative les faux positifs et les activités isolées normales.

Alertes de sécurité

Alertes de sécurité en contexte

Visualisez toutes les alertes liées aux activités suspectes des utilisateurs dans le contexte des indicateurs de menaces découverts dans le cadre de l’alerte. Chaque comportement inhabituel est présenté dans le contexte de l’activité de la base de référence de l’utilisateur et avec tous les événements bruts qui ont déclenché l’alerte, pour indiquer clairement la raison du déclenchement de l’alerte et simplifier l’enquête et le suivi.

Analyse précise des comportements des utilisateurs

Change Auditor crée des logs d’audit qui alimentent les analyses. Ainsi, toutes les données d’événements brutes utilisées pour la détection proactive des menaces dans votre environnement fournissent des informations essentielles, notamment l’auteur, l’objet, l’emplacement et la station de travail utilisée pour chaque modification. Change Auditor permet de détecter toutes les actions importantes des utilisateurs et donc d’éviter les lacunes dans l’analyse des comportements des utilisateurs.

Outil léger de détection des menaces liées aux utilisateurs

Exploitez votre infrastructure Change Auditor existante et les données d’audit pour modéliser le comportement des utilisateurs, et ainsi éviter le déploiement d’agents et de serveurs supplémentaires inutilement lourds. La seule infrastructure supplémentaire requise pour permettre l’analyse avancée des menaces liées aux utilisateurs est une simple appliance virtuelle.
Lauréate du People’s Choice Stevie Award 2018

Lauréate du People’s Choice Stevie Award 2018

La solution Change Auditor est lauréate du People’s Choice Stevie Award 2018 dans la catégorie meilleur logiciel, et du Silver Stevie 2018 dans la catégorie meilleur produit.

    Tableau de bord dynamique

  • Le tableau de bord dynamique affiche les comportements utilisateur les plus suspects.

  • Détection proactive des menaces

  • Identifiez le niveau de risque des activités des utilisateurs en temps réel pour détecter les menaces.

  • Bases des comportements des utilisateurs

  • Modélisez les comportements des utilisateurs afin de créer une base d’activité normale des utilisateurs.

  • Détection des anomalies

  • Découvrez les activités anormales en comparant chaque action avec la base.

  • Détection basée sur les schémas

  • Affichez les alertes de menaces uniquement lorsqu’un schéma de comportement suspect est détecté.

  • Alertes en contexte

  • Les alertes d’activités suspectes affichent tous les indicateurs avec l’alerte.

  • Ordre de priorité des alertes automatisé

  • Hiérarchisez les alertes en fonction des utilisateurs à plus haut risque dans votre environnement.

  • Investigation accélérée

  • Affichez l’historique complet des alertes avec des analyses permettant d’accélérer les investigations.

  • Détails des utilisateurs à risque

  • Les détails sur les utilisateurs à risque permettent d’affiner le contexte et d’accélérer les enquêtes de sécurité.

Caractéristiques

Il existe des configurations système spécifiques pour le coordinateur de Change Auditor (côté serveur), le client Change Auditor (côté client), l’agent Change Auditor (côté serveur), et la station de travail et le client Web Change Auditor (composants en option). Pour une liste complète des configurations système et des autorisations requises pour l’ensemble des composants et systèmes cibles pouvant être audités par Change Auditor, reportez-vous au guide d’installation de Change Auditor.

Le coordinateur Change Auditor est chargé d’exécuter les demandes du client et de l’agent, ainsi que de générer les alertes.

Processeur

Équivalent ou supérieur à un processeur quatre cœurs Intel® Core™ i7

Mémoire

Minimale : 8 Go de RAM ou plus

Recommandée : 32 Go de RAM ou plus

SQL Server

Prise en charge des bases de données SQL Server jusqu’aux versions suivantes :

  • Microsoft SQL Server 2012 SP4
  • Microsoft SQL Server 2014 SP3
  • Microsoft SQL Server 2016 SP2
  • Microsoft SQL Server 2017

REMARQUE : Change Auditor prend en charge les groupes de disponibilité SQL AlwaysOn et les clusters SQL.

Système d’exploitation

La solution prend en charge les plateformes d’installation (x64) jusqu’aux versions suivantes :

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

REMARQUE : Microsoft Windows Data Access Components (MDAC) doit être activé (MDAC fait partie du système d’exploitation et est activé par défaut).

Configuration et logiciels requis pour le coordinateur

Pour des performances optimales, Quest vous recommande vivement de suivre les instructions ci-dessous :

  • Installez le coordinateur Change Auditor sur un serveur membre dédié.
  • La base de données Change Auditor doit être configurée sur une autre instance SQL Server dédiée.

REMARQUE : Ne préallouez PAS une taille fixe à la base de données Change Auditor.

La configuration et les logiciels suivants sont également requis :

  • Le coordinateur requiert une connectivité LDAP et GC avec tous les contrôleurs du domaine local et du domaine root de la forêt.
  • Version x64 de Microsoft .NET Framework 4.6.1
  • Version x64 de Microsoft XML Parser (MSXML) 6.0
  • Version x64 de Microsoft SQLXML 4.0
Espace requis pour le coordinateur
  • Estimation de l’espace de disque dur utilisé : 1 Go
  • La quantité de RAM utilisée par le coordinateur dépend fortement de l’environnement, du nombre de connexions d’agent et du volume d’événements.
  • La taille estimée de la base de données peut varier en fonction du nombre d’agents déployés et d’événements audités capturés.

D’autres autorisations minimums sont requises pour le coordinateur Change Auditor. Veuillez consulter le guide d’installation de Change Auditor.

Le serveur Change Auditor Threat Detection est une appliance virtuelle chargée d’analyser les logs d’audit de Change Auditor et de détecter les schémas de comportement suspect des utilisateurs. Pour plus d’informations sur le déploiement de l’appliance virtuelle, consultez le guide de déploiement de Change Auditor Threat Detection.

Déploiement sur Microsoft Hyper-V
  • L’hôte Hyper-V qui s’exécute sur Windows Server 2016
  • Configuration requise du serveur Threat Detection :
    • Taille du modèle : environ 10 Go
    • Processeur : 8 ou 16 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé.
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go.
Déploiement sur VMware ESX
  • VMware ESXI version 5.5 et ultérieure qui est géré par VMware Vcenter version 5.5 et ultérieure
  • Les clients vSphere suivants sont pris en charge :
    • Avec ESX 5.5 - client Windows vSphere.
    • Avec ESX 6.0 - client Flash vSphere.
    • Avec ESX 6.5 - client Flex vSphere, client HTML5 vSphere.
  • OVA édition petites et moyennes entreprises :
    • Taille de fichier OVA : environ 10 Go
    • Processeur : 8 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go
  • OVA édition grandes entreprises :
    • Taille de fichier OVA : environ 10 Go
    • Processeur : 16 cœurs, 2,3 GHz minimum, 2,4 GHz recommandé
    • RAM : 64 Go
    • E/S : 500 Mo/s
    • Disque : SAS 320 Go, SAS 930 Go

Ressources

Change Auditor Threat Detection
Fiche technique
Change Auditor Threat Detection
Change Auditor Threat Detection
Suivez et confirmez rapidement tout changement ou les modifications quotidiennes apportées au système
Lire la fiche technique
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
Webcast à la demande
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?
Microsoft ATA and Azure ATP – How they fit in your defense in depth security strategy?

According to the 2018 Verizon Data Breach Investigations Report, 68% of investigated data breaches went undetected for 60 or more days. Fortunately, platform providers, such as Microsoft, are

Regarder le webcast
What Is Azure ATP and How Does It Fit into Your Security Strategy?
Livre blanc
What Is Azure ATP and How Does It Fit into Your Security Strategy?
What Is Azure ATP and How Does It Fit into Your Security Strategy?

Being able to quickly detect and respond to threats is essential for both security and regulatory compliance. But it’s not an easy task. On the one hand, you have hackers battering your netwo

Lire le livre blanc
COMMENT DÉTECTER LES MENACES INTERNES AVANT QU’IL NE SOIT TROP TARD
eBook
COMMENT DÉTECTER LES MENACES INTERNES AVANT QU’IL NE SOIT TROP TARD
COMMENT DÉTECTER LES MENACES INTERNES AVANT QU’IL NE SOIT TROP TARD
Change Auditor Threat Detection filtre les données d’audit pour obtenir un nombre gérable d’alertes SMART et utilise une analyse comportementale pour mettre en évidence les utilisateurs les plus à risque.
Lire l'eBook
S’attaquer à la détection des menaces internes grâce à l’analyse des comportements des utilisateurs
Livre blanc
S’attaquer à la détection des menaces internes grâce à l’analyse des comportements des utilisateurs
S’attaquer à la détection des menaces internes grâce à l’analyse des comportements des utilisateurs
Examen des défis liés à la détection des menaces internes, des avantages et limites des solutions de détection des menaces basées sur les règles et les schémas.
Lire le livre blanc
Présentation de Change Auditor Threat Detection
Dossier technique
Présentation de Change Auditor Threat Detection
Présentation de Change Auditor Threat Detection
Identifiez les menaces internes grâce à l’apprentissage automatique avancé, aux analyses comportementales des entités et utilisateurs (UEBA) et à la technologie de corrélation SMART, afin d’empêcher toute violation de données
Consulter le résumé technique
Introducing Change Auditor Threat Detection
Introducing Change Auditor Threat Detection

04:11

Vidéo
Introducing Change Auditor Threat Detection
Be proactive about detecting potential insider threats and anomalous activity by modeling user behavior through unsupervised machine learning.
Regarder la vidéo
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
eBook
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
TROIS FAÇONS SELON LESQUELLES UN UTILISATEUR PRIVILÉGIÉ PEUT INTÉGRER VOTRE ENVIRONNEMENT ACTIVE DIRECTORY
Ce livre électronique examine les menaces internes et huit bonnes pratiques de sécurité AD afin de réduire les risques et le temps de restauration.
Lire l'eBook

Commencez maintenant

Détectez de manière proactive les menaces de sécurité liées aux utilisateurs dans vos environnements Microsoft