Det er nemt at integrere threat intelligence-kilder med LogPoint for at hjælpe din organisation med at forstå dens sårbarheder og prioritere trusler. Der findes utallige gratis og betalte threat intelligence-platforme og feeds, som du kan bruge, blandt andet MISP. En open source-platform, MISP, indsamler, deler og korrelerer trusseloplysninger som sårbarheder, indikatorer for kompromittering af målrettede angreb og økonomisk bedrageri. Du kan integrere trusselplatforme og feeds som MISP som kilde i LogPoint Threat Intelligence-applikationen for at hente og analysere logfilerne. Analytikere kan bruge de indsamlede oplysninger til at forudsige brud på datasikkerheden, sårbarhed over for angreb og ethvert tegn på forudplanlagte angreb eller trusler mod deres ressourcer.

Følg nedenstående vejledning for at få mere at vide om, hvor nemt det er at komme i gang med threat intelligence ved hjælp af MISP-feeds som et eksempel.

Hent Threat Intelligence-applikationen

Gå til LogPoint Help Center for at få adgang til Threat Intelligence-applikationen.

Når du har downloadet og installeret programmet, kan du administrere det fra siden Plugins.

Threat Intelligence plugin

Du kan se alle dine integrationer på siden Plugins.

Konfigurering af Threat Intelligence-platformen

Vælg MISP fra Threat Intelligence Management-panelet. Muligheden Enable source er aktiveret som standard.

Vælg indstillingen Enable proxy for at tilslutte MISP-kilden via en proxyserver. Indtast IP-adressen og portnummeret på proxyserveren, og vælg HTTP- eller HTTPS-protokollen efter behov. Klik derefter på Submit.

Threat Intelligence management in SIEM

I panelet Management kan du se alle dine tilsluttede Threat Intelligence-feeds.

Søg efter threat intelligence-resultater

Når du har konfigureret, kan du søge efter MISP-logs i threat intelligence-tabellen.

Indtast følgende forespørgsel for at søge efter logfilerne:

Table "threat_intelligence" threat_source=misp

MISP Threat Intelligence query

Du kan søge efter logfiler fra bestemte kilder.

Berig logfiler med threat intelligence

Følgende eksempler viser, hvordan et threat intelligence feed som MISP beriger dine logfiler med kontekstuel information for at omdanne rå data til meningsfuld indsigt. Kontekst fra feeds hjælper analytikere med at filtrere støj fra og prioritere højrisikotrusler.

Når logfiler ikke er berigede, er det svært for analytikerne at vide, hvordan truslen skal prioriteres.

MISP Threat Intelligence log

Et eksempel på en logfil fra Threat Intelligence-applikationen uden berigede data.

Berigelse tilføjer kontekstuel information til logfilen, hvilket giver analytikerne flere oplysninger, der kan hjælpe med undersøgelsen. En threat intelligence feed giver analytikerne oplysninger om trusseltypen og scoren, så analytikerne bedre kan vurdere truslens alvor.

MISP Threat Intelligence log enrichment

LogPoint viser de berigede logdata som rød tekst.

Få overblik over al threat intelligence

LogPoint Threat Intelligence-applikationen leveres med en brugsklar Threat Intel Analytics-pakke, der omfatter generelle leverandøradvarsler, regler og dashboards til threat intelligence. En oversigt hjælper analytikerne med at identificere de mest kritiske trusler og vide, hvor de skal fokusere deres ressourcer.

Advarsler

LogPoint indeholder følgende alarmpakker, som samler et væld af feeds i en enkelt database for nem analyse.

  • Threat intel-forbindelser med mistænkelige domæner – domæner, hvor den mistænkelige intel-feedetiket er integreret i LogPoint
  • Threat Intel Intern Machine, der opretter forbindelse til flere IOC’er – en intern maskine, der opretter forbindelse til en række mistænkelige ressourcer på internettet, såsom IP’er, URL’er eller specifikke ressourcer såsom filer, der hostes på populære tjenester
  • Threat intel om store afviste forbindelsesforsøg fra IOC – sender en advarsel, når threat intel Feed registrerer flere afviste forbindelsesforsøg
  • Threat intel om  tilladte forbindelser fra mistænkelige kilder – sender en advarsel, når threat intel feed detekterer flere tilladte forbindelsesforsøg
  • Threat intel IOC-tilslutning til flere interne maskiner – sender en advarsel, hvis threat intel feed markerer et element som mistænkeligt

Dashboards

Analytikere kan få et overblik over al integreret threat intelligence med følgende dashboard-widgets.

  • Top 10 indgående angrebsadvarsler efter land
  • Top 10 udgående angrebsalarmer efter land
  • Top 10 kategorier efter domæne
  • Tendens for scoretid
  • Top 10 observerede IOC-kategorier
  • Interne adresser tilknyttet IOC
  • Brugere forbundet med IOC
  • Distribution af observeret IOC
  • Interne adresser, der kommunikerer med TI-matches
  • Antal interne destinationer
Threat Intelligence SIEM dashboard
Threat Intelligence SIEM dashboard

Dashboard-widgets giver analytikerne et visuelt overblik over trusler.

Vil du vide mere?

Hvis du har yderligere spørgsmål om integration af threat intelligence med LogPoint, kan du kontakte din lokale LogPoint-repræsentant eller os.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser