Top 10 SIEM use cases, der bør blive implementeret

LogPoint er en Security Information and Event Management-løsning (SIEM),  der indsamler, gemmer og analyserer logdata fra hele IT-infrastrukturen for at registrere mistænkelige aktiviteter og reagere på trusler. Selvom SIEM-værktøjer primært anvendes til sikkerhedsformål, er der flere andre use cases, som alle organisationer bør være opmærksomme på, såsom automatiseret compliance-styringovervågning af driften eller logstyring.

 

Her er de 10 vigtigste use cases, der bør blive implementeret med LogPoint SIEM:

01 Registrering af kompromitterede brugeroplysninger

Sørg for at have en use case og et workflow på plads for at registrere eventuelle forsøg på at kompromittere brugeroplysninger gennem Brute Force, Pass the Hash, Golden Ticket eller andre metoder. I tilfælde af en kompromittering, der lykkes, er det afgørende at kunne identificere de berørte brugere og enheder for at undersøge indvirkningen og forhindre yderligere skader.

Detecting compromised user credentials
[label=User label=Login label=Successful logon_type=9 package=Negotiate logon_process=seclogo] as s1 followed by [norm_id=WindowsSysmon label="Process" label=Access image="*\lsass.exe" access="0x1010"] as s2 within 5 second on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.targetoutboundusername as target_user, s2.process as "process"
| chart count() by user, target_user

02 Sporing af systemændringer

Angiv passende regler for markering af kritiske hændelser, f.eks. uautoriserede ændringer i konfigurationer eller sletning af auditeringsspor. Disse ændringer skal eskaleres med det samme for at stoppe skaden og minimere yderligere risici, da manipulering med overvågninglogs altid er et rødt flag.

Tracking system changes
label=Log label=Clear 
| chart count() by log_ts, host, user, target_channel

03 Registrering af usædvanlig adfærd på privilegerede konti

Privilegerede brugere såsom system- eller databaseadministratorer har udvidede adgangsrettigheder, hvilket gør dem til et attraktivt mål for hackere. Med et SIEM kan analytikerne holde nøje øje med enhver handling, som disse privilegerede brugere udfører, og lede efter usædvanlig adfærd, der kan indikere en trussel eller en kompromittering.

RDP login to a domain controller

RDP-login til en domænecontroller efterfulgt af RDP-login til en anden arbejdsstation

[norm_id=WinServer label=User label=Login label=Remote host IN WINDOWS_DC user IN ADMINS] as s1 followed by [norm_id=WinServer label=User label=Login label=Remote -host IN WINDOWS_DC] as s2 within 10 minute on s1.user=s2.user 
| rename s1.host as domain_controller, s2.host as host, s1.user as user, s1.domain as domain
| chart count() by domain_controller, host, user, domain

04 Sikring af cloudbaserede applikationer

Cloud computing har mange fordele, men det indebærer også flere udfordringer: at opfylde nye krav til compliance, forbedre overvågningen af brugere og adgangskontrol eller at forberede sig på mulige malware-infektioner og brud på datasikkerheden. En SIEM-løsning skal understøtte cloudbaserede applikationer som logkilder, såsom Salesforce, Office365 eller AWS, for at udvide overvågningen af compliance og threat detection til clouden.

4.	Secure cloud-based applications
norm_id IN CLOUD_APPLICATIONS | chart count() by norm_id

05 Phishing-identifikation

Phishing er et forsøg på at indhente følsomme oplysninger, der bruges til bedrageri og efterligning. Dette omfatter forsøg på at indhente personlige oplysninger, såsom CPR-numre, bankkontonumre eller PIN-koder og adgangskoder. Det er afgørende at sikre, at disse datatyper beskyttes på tværs af hele organisationen. Phishing, især spear phishing, bruges ofte til at få indledende adgang til et netværk. Når analytikerne modtager en phishing-e-mail, kan de bruge SIEM til at spore, hvem der har modtaget den, klikket på links i den eller besvaret den, hvilket gør det muligt for analytikerne at reagere øjeblikkeligt for at minimere skaderne.

Phishing detection

Søgning efter de generelle emnelinjer i en e-mail, der klikkes mest på:

label=Email label=Receive subject IN ['Payroll Deduction Form', 'Please review the leave law requirements', 'Password Check Required Immediately', 'Required to read or complete: "COVID-19 Safety Policy"', 'COVID-19 Remote Work Policy Update', 'Vacation Policy Update', 'Scheduled Server Maintenance -- No Internet Access', 'Your team shared "COVID 19 Amendment and Emergency leave pay policy" with you via OneDrive', 'Official Quarantine Notice', 'COVID-19: Return To Work Guidelines and Requirements']
| chart count() by source_address, subject, sender, receiver, destination_host

06 Overvågning af belastninger og oppetider

Med et SIEM-system, der er justeret med passende korrelationsregler og advarsler, bliver det muligt løbende at overvåge belastning, oppetid og svartid på forskellige servere og tjenester. Det gør det muligt at opdage fejl og overbelastninger på et tidligt tidspunkt, så nedetid og de dermed forbundne omkostninger undgås.

6.	Monitoring loads and uptimes
label=Memory label=Usage | timechart max(use) as memoryUsePercent every 1 hour

07 Logstyring

Databaser, applikationer, brugere og servere genererer store mængder logdata. Et SIEM-værktøj kan normalisere og centralisere indsamlingen af logdata. Dette muliggør problemfri analyse og sikkerhedskorrelation og gør det muligt for IT-sikkerhedsteamet at søge i dataene for at finde specifikke nøgleord eller værdier.

Log Management
label=Access label=Object

08 SIEM til overholdelse af GDPR, HIPAA eller PCI

Organisationer er underlagt et stort antal compliance-bestemmelser, såsom GDPR, HIPAA eller PCI. Med et SIEM-system vil du være i stand til at dokumentere, hvornår og af hvem data blev tilgået, læst eller kopieret, opfylde compliance-krav og forhindre overtrædelser af kravene.

SIEM for GDPR, HIPAA, or PCI compliance
label=File label=Modify | chart count() by log_ts, user, user_type, source_address, domain, file, application

09 Threat hunting

Processen med aktivt at søge efter cyberrisici i en organisation eller et netværk kaldes threat hunting. En threat hunt kan udføres som reaktion på et sikkerhedsproblem eller for at afdække nye og ukendte angreb eller brud. Threat hunting kræver adgang til sikkerhedsdata fra alle steder i virksomheden, hvilket et SIEM-system kan levere.

Threat Hunting

Jagt efter EXE-filer, der er sluppet på mistænkelige steder:

norm_id=WindowsSysmon event_id=11 file="*.exe" path IN ["C:\ProgramData*", "*\AppData\Local\*", "*\AppData\Roaming\*", "C:\Users\Public*"] -source_image IN ["*\Microsoft Visual Studio\Installer\*\BackgroundDownload.exe", "C:\Windows\system32\cleanmgr.exe", "*\Microsoft\Windows Defender\*\MsMpEng.exe", "C:\Windows\SysWOW64\OneDriveSetup.exe", "*\AppData\Local\Microsoft\OneDrive\*", "*\Microsoft\Windows Defender\platform\*\MpCmdRun.exe", "*\AppData\Local\Temp\mpam-*.exe"]
| chart count() by host, file, path, source_image

10 SIEM til automatisering

SIEM automatiserer threat detection-aktiviteter og danner grundlag for automatiseret hændelsesrespons. Videresendelse af sikkerhedsalarmer og hændelser til LogPoint SOAR gør det muligt at reagere hurtigere på hændelser ved at automatisere manuelle opgaver, hvilket resulterer i lavere sikkerhedsomkostninger og øget SOC-produktivitet. Få LogPoint SOAR med ét analytikersæde gratis nu (Link til kontakt-grænseflade) som en del af SIEM-licensen.

Playbook in LogPoint SOAR

Playbook i LogPoint SOAR

Test fordelene ved LogPoints SIEM-, UEBA- og SOAR-løsning

Book en personlig demo for at få mere at vide om fordelene ved vores SIEM-, UEBA- og SOAR-produkt og forskellige downloadmuligheder.

Book en demo