Quest Intrust
Ereignisprotokollverwaltung

Quest® Intrust

Überblick

Die wertvollste Ressource Ihres Unternehmens sind Ihre Daten und die Benutzer, die darauf zugreifen können. Jedoch hängt die Sicherheit Ihres Unternehmens direkt von der Sicherheit Ihrer Workstations ab. Das Erfassen, Speichern und Analysieren sämtlicher Daten aus Benutzer- und privilegierten Konten erfordert in der Regel große Mengen an Speicherkapazität, zeitaufwändige Prozesse zur Erfassung von Ereignisdaten sowie internes Know-how rund um die erfassten Ereignisprotokolldaten. Hier kommen wir ins Spiel.

Quest InTrust ist eine intelligente, skalierbare Software für die Verwaltung von Ereignisprotokollen, mit der Sie sämtliche Aktivitäten von Administratoren und auf Benutzer-Workstations überwachen können – von der Anmeldung bis hin zur Abmeldung. Reduzieren Sie die Speicherkosten durch eine Datenkomprimierung im Verhältnis von 20:1 und speichern Sie die von Windows- oder UNIX-/Linux-Servern, Datenbanken, Anwendungen und Netzwerkgeräten stammenden Ereignisprotokolle mehrerer Jahre. Die Protokollüberwachung und Warnmeldungen in Echtzeit von InTrust ermöglichen es Ihnen, mit automatischen Reaktionen auf verdächtige Aktivitäten Bedrohungen sofort entgegenzuwirken.

Quelle: Quest

Quest® Intrust

Wichtige Funktionen und Merkmale

Zentrale Erfassung von Protokollen
Sammeln und speichern Sie alle nativen und Drittanbieter-Workstation-Protokolle von verschiedenen Systemen, Geräten und Anwendungen an einem einzigen, durchsuchbaren Ort mit umgehender Verfügbarkeit für Sicherheits- und Compliance-Berichterstellung. Profitieren Sie von einer vereinheitlichten Ansicht von Windows-Ereignisprotokollen, Protokollen von UNIX/Linux, IIS und Webanwendungen, PowerShell-Audit-Trails, Endpunktschutzsystemen, Proxys und Firewalls, Virtualisierungsplattformen, Netzwerkgeräten, benutzerdefinierten Textprotokollen sowie Ereignissen in Quest Change Auditor.
Vereinfachte Protokollanalyse
Konsolidieren Sie kryptische Ereignisprotokolle aus unterschiedlichen Quellen in ein einfaches, gewöhnliches Format mit den Angaben „Wer“, „Was“, „Wann“, „Wo“, „Von wo“ und „An Wen“, um die Daten einfacher auswerten zu können. Die einzigartige Volltext-Indexierung macht Ereignisdaten für schnelle Berichterstellung, Fehlerbehebung und Sicherheitsuntersuchungen ganz einfach und über einen längeren Zeitraum auffindbar.
SIEM-Integration

InTrust bietet eine einfache und zuverlässige Integration mit Splunk, QRadar, ArcSight und anderen SIEM-Lösungen, die gängige Syslog-Formate (RFC 5424, JSON, Snare) unterstützen. Mit dem nutzerbasierten Lizenzmodell von InTrust können Sie so viele Daten wie nötig erfassen und speichern – so lange Sie wollen. Mithilfe vorgefertigter Filter, die auf Best Practices der Branche basieren, können Sie nur relevante Protokolldaten und Warnmeldungen zwecks Sicherheitsanalyse in Echtzeit an Ihre SIEM-Lösung weiterleiten. Dank dieser Integration können Sie die jährlichen SIEM-Lizenzierungskosten drastisch senken.

Komprimierung von Ereignisprotokollen

Sammeln und speichern Sie die Datenmengen mehrerer Jahre in einem stark komprimierten Verzeichnis (20:1 mit Indexierung, 40:1 ohne Indexierung), damit Sie Ihre Speicherkosten um bis zu 60 % verringern, Richtlinien zur Aufbewahrung von Daten einhalten und kontinuierliche Compliance mit HIPAA, SOX, PCI, FISMA und anderen Vorschriften sicherstellen können.

Warnmeldungen und Reaktionen
Behalten Sie den Überblick über unautorisierte und verdächtige Benutzeraktivitäten wie dem Erstellen von Dateien über Berechtigungen hinaus, die Nutzung von Dateierweiterungen bekannter Ransomware-Angriffe, die Initiierung verdächtiger Vorgänge oder die Nutzung verdächtiger PowerShell-Befehle. Reagieren Sie dank Echtzeitwarnmeldungen umgehend auf Bedrohungen. InTrust gibt Ihnen die Möglichkeit, problemlos automatische Reaktionen auf verdächtige Ereignisse auszulösen. So können Sie die betreffende Aktivität zum Beispiel blockieren, den angreifenden Benutzer deaktivieren, die Änderung rückgängig machen und/oder Notfallauditierungen aktivieren.
Manipulationssichere Protokolle

Schützen Sie Daten aus Ereignisprotokollen vor Manipulationen oder Löschung, indem Sie auf jedem Remote-Server, auf dem Protokolle nach der Erstellung dedupliziert werden können, einen gecachten Speicherort erstellen.

Quelle: Quest

Quest® Intrust

Tour


Automatisieren Sie die Echtzeit-Erfassung von Ereignisprotokollen über eine einzige Konsole.


 
 

Mithilfe vordefinierter Suchanfragen können Sie die Suchergebnisse gezielt auf Daten zu kritischen Ereignissen beschränken.


 
 
 

Nutzen Sie Best Practice-Filter, um ausschließlich relevante Daten an Ihre SIEM-Lösung weiterzuleiten, um Kosten zu reduzieren, unwichtige Ereignisdaten zu minimieren und die Effizienz der Bedrohungsabwehr zu erhöhen.


 
 
 
 

Erfassen, speichern und suchen Sie in Unix- und Linux-Syslogs nach Ereignissen.

 
 
 
 

Syslog-Daten unterscheiden sich von Anwendung zu Anwendung stark voneinander. Mit InTrust können Sie strukturierte Daten in Syslog-Ereignissen feststellen und diese Daten richtig analysieren.

 
 
 
 

Überwachen Sie Benutzeraktivitäten von der Anmeldung bis hin zur Abmeldung.

 
 
 
 

Nutzen Sie vorgefertigte Warnungen zu verdächtigem Nutzerverhalten, wie mögliches Password Spraying (mehrere, fehlgeschlagene Anmeldeversuche für verschiedene, gültige Konten).

 
 
 
 

Mit automatisierten Aktionen können die Auswirkungen moderner, auf PowerShell basierender Angriffe minimiert werden, wie Pass-the-Hash.

 
 
 
 

Versenden Sie E-Mail-Benachrichtigungen an bestimmte Nutzer und deren Manager, um sie über mögliche verdächtige Aktivitäten hinsichtlich ihres Kontos zu informieren, wie Passwort-Änderungen oder mehrere, fehlgeschlagene Anmeldeversuche.


 
 
 
 

Die Lösung erlaubt den Export integrierter Berichte zwecks Fehlerbehebung und Prüfung.

 
 
 
 

Finden Sie mithilfe einfacher Suchbegriffe alles, was mit einem Nutzer oder Objekt in Zusammenhang steht. Zeigen Sie die Ergebnisse übersichtlich an: wer, was, wann, wo, wem und Workstation.

 
 
 
Quelle: Quest

External Links: