Auditoría de dispositivos de Windows

Auditoría de eventos de Windows

Para las muchas organizaciones que usan dispositivos con Windows, la mayoría de las actividades dentro de la empresa ocurren en las redes de Windows. Con tantos dispositivos Windows en uso, varias aplicaciones propietarias, como las aplicaciones nativas de cortafuegos, copia de seguridad y hipervisor de Windows, también son populares en todas las organizaciones. La auditoría de la información de registro de los dispositivos de Windows puede resultar valiosa de varias maneras, por ejemplo, mediante:

  • Proporciona una descripción general de todas las actividades de la red, a través de los niveles de gravedad del registro de eventos de Windows.
  • Proteger las redes con información sobre posibles infracciones, vulnerabilidades y anomalías.
  • Resumiendo la actividad del usuario y los datos capturados por varias aplicaciones nativas.
  • Proteger a las organizaciones del robo de datos y monitorear el uso de dispositivos extraíbles.
  • Localizar eventos preocupantes, como múltiples inicios de sesión fallidos o bloqueos de aplicaciones.
  • Seguimiento de todos los eventos del sistema y cambios en el registro.

Con su amplia colección de informes y alertas predefinidos, EventLog Analyzer automatiza la tarea, por lo demás laboriosa, de auditar la información de los dispositivos de Windows.

Auditoría de dispositivos Windows con EventLog Analyzer

EventLog Analyzer proporciona:

  • Compatibilidad con los formatos de registro de eventos EVTX y EVTX más antiguos. Esto incluye los registros de auditoría de las versiones de servidor y cliente de Windows NT, XP, Vista, 2000, 2003, 2008, 2012, 7, 8 y 10.
  • Análisis de actividad para diversas aplicaciones nativas, incluido Firewall de Windows, Copia de seguridad y restauración de Windows y Microsoft Hyper-V.
  • Tecnología sin agente para recopilar registros de eventos, con la opción de instalar agentes si es necesario.
  • Almacenamiento de registro central y normalización de datos.
  • Cientos de informes predefinidos, incluidos informes de cumplimiento normativo.
  • Archivo de registro seguro y encriptado, pero flexible.
  • Alertas en tiempo real enviadas por correo electrónico o SMS para eventos notables como inicios de sesión fallidos, accesos a objetos, anomalías de red y más.
  • Opciones de búsqueda de registro simples y avanzadas para análisis forense en profundidad.

Funciones de auditoría de dispositivos de Windows

Colección de registros

  • Los registros de eventos de Windows se recopilan utilizando un mecanismo sin agente.
  • Vea un resumen de todos los registros recopilados en el panel del producto.
  • Controle el número y el tipo de registros (como advertencias o fallas) recopilados de cada dispositivo de Windows en el tablero de instrumentos.

Análisis de registro

  • EventLog Analyzer ofrece más de 120 informes predefinidos para la auditoría de dispositivos de Windows, que cubren una amplia gama de eventos.
  • Los informes son fáciles de entender, con representaciones gráficas y tabulares.
  • Personalice, programe y distribuya informes por correo electrónico. Exportar informes en formatos PDF y CSV.

Alertas en tiempo real

  • Reciba alertas sobre eventos notables en tiempo real, incluidas amenazas de alto perfil, como posibles infracciones de seguridad, enviadas como correo electrónico o SMS.
  • Personalice los perfiles de alerta estableciendo niveles de prioridad de alerta, eligiendo qué condiciones generan alertas y más.
  • Designe respuestas automáticas del programa, como generar una trampa SNMP o activar una alarma sonora.

Correlación de eventos en tiempo real

  • EventLog Analyzer presenta una correlación de registro de eventos en tiempo real, que correlaciona eventos en múltiples dispositivos y genera una alerta si se detecta un posible patrón de ataque.
  • Con más de 70 reglas de correlación predefinidas, use una interfaz simple de arrastrar y soltar para crear reglas complejas que reconozcan posibles patrones de ataque.

Cumplimiento normativo

  • Use informes predefinidos para cumplir con varias regulaciones de cumplimiento, incluidas PCI DSS, HIPAA, SOX, GLBA, FISMA, ISO 27001: 2013 y GPG.
  • Genere alertas para todos los eventos relacionados con las políticas de cumplimiento, como cambios en cuentas de usuario o borrado de registros de auditoría.
  • Cree informes de cumplimiento personalizados para mantenerse al día con los requisitos de cumplimiento futuros.

Registro forense

  • EventLog Analyzer presenta un poderoso motor de búsqueda con varias opciones de búsqueda flexibles, lo que facilita el análisis de la causa raíz. Descubra fácilmente la hora, la ubicación y la persona que causó un evento de seguridad.
  • Busque registros sin procesar y formateados.
  • Guarde los resultados de la búsqueda como informes únicos o configure una programación para generar informes recurrentes. Crear perfiles de alerta basados ​​en búsquedas.

Archivo de registro

  • Los registros se comprimen y archivan de forma segura para que no se alteren.
  • Personalice los archivos de almacenamiento de registro, incluso cuando se crean y luego se eliminan, y dónde se almacenan.
  • Cargue, busque e informe en archivos de almacenamiento en cualquier momento para obtener más información sobre el alcance de los eventos.

Informes de dispositivos de Windows

Más de 120 informes predefinidos para dispositivos de Windows se clasifican en grupos de informes lógicos para facilitar el acceso. Los informes están disponibles en las siguientes categorías:

  • Informes de gravedad de Windows : vea todos los registros de eventos de Windows, incluido el nivel de gravedad (éxito, falla, información, crítico, etc.) para cada evento.
  • Eventos del sistema de Windows : realice un seguimiento de varios eventos importantes del sistema, como arranques y paradas, instalaciones de servicios y software, actualizaciones de Windows y mucho más.
  • Informes de amenazas : identifique los ataques a la red, como la denegación de servicio (DDoS) o los ataques de degradación, y otros eventos que afecten la seguridad de la red, como el cierre del servicio de eventos o el bloqueo de las cuentas de los usuarios.
  • Auditoría de disco extraíble : supervise minuciosamente el uso de discos extraíbles en una red, incluidas todas las operaciones de datos realizadas en discos extraíbles, como creación, modificación, eliminación y más.
  • Política de red : supervise los eventos que ocurren como resultado de las políticas de red, como el acceso a la red otorgado o denegado y el bloqueo de la cuenta debido a fallas de inicio de sesión repetidas.
  • Cambios en el registro : haga un seguimiento del uso del registro de Windows y vea todos los cambios en los valores del registro.
  • Copia de seguridad y restauración de Windows: audite toda la actividad en el software de copia de seguridad nativo de Windows, Windows Backup and Restore.
  • Bloqueos de aplicaciones : haga un seguimiento de los motivos de varios bloqueos de aplicaciones, como el error de pantalla azul de defunción (BSOD), bloqueo de aplicación, errores del sistema y otros errores de aplicación.
  • Lista blanca de aplicaciones : vea información detallada sobre las aplicaciones que se ejecutaron correctamente o que fallaron.
  • Inventario del programa : realice un seguimiento de las instalaciones, actualizaciones y eliminaciones de la aplicación.
  • Firewall de Windows : audite Firewall de Windows y realice un seguimiento de los cambios en las reglas y políticas. Identifique varios ataques evitados por el cortafuegos, como ataques de parodia, ataques de inundación, ping de ataques de muerte y más.
  • Informes antivirus : encuentre información detallada acerca de las amenazas detectadas por varios programas antivirus populares, incluidos ESET, Kaspersky, Sophos, Norton y las aplicaciones antivirus y antimalware nativas de Windows.
  • Robo de datos : revele el robo de datos desde varios puntos de acceso, como impresoras, medios extraíbles, copias de seguridad de bases de datos y más.
  • Auditoría de Hyper-V : audite la actividad en los servidores y máquinas virtuales de Microsoft Hyper-V, como la creación de particiones, la creación de conmutadores Hyper-V, las creaciones de máquinas virtuales, las importaciones y más.