Styrk dine sikkerhedsanalytikere med SIEM Threat Intelligence
Nøglen til avanceret sporing af trusler er at forstå dine sårbarheder samt at have tilstrækkelig erfaring og viden til at afbøde trusler. Selvom indikatorer for risici ofte er vanskelige at identificere, og forberedelse imod hver eneste nye trussel er umulig, kan du dog gøre brug af de bedste tilgængelige kilder til Threat Intelligence. Dette vil hjælpe din organisation med at prioritere og reagere på truslerinden de resulterer i store konsekvenser
Threat Intelligence automatisering, et aspekt af en holistisk cybersikkerhedsstrategi, hjælper dig med at forstå risici relateret til de mest almindelige og alvorlige eksterne trusler, såsom zero-day trusler, advanced persistent threats og exploits. Det giver dig mulighed for at indsamle og analysere data om de nyeste trusler fra en bred vifte af kilder. Threat Intelligence information fra sikkerhedsleverandører, efterretningsgrupper og forbindelser til dit eget netværk hjælper dig med at afværge angreb ved at starte sikkerhedsaktiviteter for at stoppe adfærd og undgå hændelser med ond hensigt.
Vi er overbevist om, at automatisering af Threat Intelligence er et aspekt af cybersikkerhed, som ingen med ansvar for et netværk har råd til at ignorere. Dets rolle i netværksforsvar er nu bevist, og de indsamlede trusselsdata har en ubestridelig værdi for organisationer. Faktisk giver de beslutningstagere et pålideligt grundlag for at bekræfte fordelene og konsekvenserne af deres beslutninger.
Get in touch with us and learn why leading brands choose LogPoint:
At være proaktiv er løsningen
Feeds i realtid kombinerer intelligens og tidligere erfaringer fra andre organisationer i en enkelt kilde, der giver dit team kontekstuelle oplysninger for at træffe bedre informerede strategiske valg og hermed afbøde angreb.
Dog er det at identificere en trussel inden for store mængder indsamlet data som at finde en nål i en høstak. Du spørger måske:
-
- Hvad leder jeg efter?
- Hvordan kan jeg skelne mellem normal og ondsindet aktivitet, der kan signalere et angreb?
</ ul >
Årsagen til at integrationen af SIEM og TI betragtes af nogle som et problem ligger i manglen på kalibrering. Hos LogPoint mener vi, at det ikke er mængden af information, men den rigtige implementering af det, der fører til resultater.
Mens løbende analyse af virksomhedens logdata alene er værdifuld, er næste generations beskyttelse mod avancerede trusler kun mulig ved at sammenligne din interne data med de relevante indikatorer for kompromis. Ved at optimere din interne data med de trusler, din sektor er mest udsat for, skaber LogPoint SIEM integreret med TI feeds sammen en fokuseret løsning for at få mest muligt ud af din virksomheds log-data.
Integration af SIEM og Threat Intelligence sikrer, at kunderne endnu hurtigere oplever korrelation mellem truslerne og styring for at forbedre deres evne til at overvåge, administrere og afhjælpe cybertrusler. Ved at udnytte LogPoints arkitektur kan organisationer nu drage fordel af en hurtigere evne til at korrelere flere trusselsindikatorer genereret indenfor deres perimeter med ekstern threat IOCs.
Vi sætter ikke kun dit sikkerhedsteam i stand til at være proaktiv, når det kommer til at forsvare dine kritiske aktiver, vi hjælper dig også med at opnå at være oplyst fuldt, så du altid vil vide:
-
- Hvornår du er blevet angrebet?
- Er der et nyt potentielt angreb på vej? < / li>
- Hvem er målet i din organisation? Hvorfor?
- Hvilke sårbarheder planlægger angriberne at udnytte?
Threat Intelligence drevet af LogPoint SIEM
LogPoint SIEM threat intelligence applikationen tilbyder en enkel og effektiv threat intelligence platform til at identificere nye trusler i din infrastruktur, der integreres med mere end 100 threat intelligence feeds. Ved at udnytte LogPoints ene taksonomi konverteres data til et simpelt format bestående af et “fælles sprog”, hvorefter LogPoint sammenligner det med din virksomheds logdata.
Herved kan analytikere automatisere eventsøgninger ved at screene flere tusinder af indikationer på kompromittering (IoCs) for at evaluere trusler baseret på kendte angreb. Beskyttelse af infrastrukturen er afhængig af kendskab til de karakteristiske teknikker ved en trussel for at identificere og indsamle data om denne angrebsmetode eller andet bevis for kompromittering.
At opnå analyse af data, der muliggør modsvar på trusler, er altid en mere kompleks udfordring under hensyntagen til den permanente udvikling af risiko og angrebsmetoder. LogPoint screener ikke kun flere tusinder af indikationer på kompromis for at advare dig om kendte angreb. Logpoint beder også proaktivt om handling såsom at blokere kendte skadelige IP adresser, hvis en advarsel om en potentiel trussel stiger.
En fleksibel platform, der passer til din organisations behov
Threat Intelligence automatisering i LogPoint giver mulighed for at generere alarmer uanset datastruktur, taksonomi og semantik. Med LogPoint SIEM Threat Intelligence kan du drage fordel af et bredt udvalg af kommercielle, community-drevne og open source top threat intelligence værktøjer eller feeds, såsom Emerging Threats eller Critical Stack og STIX / TAXII-kompatible udbydere. Vi understøtter også csv-format til threat intelligence feeds. Ved dette kan du få realtidsindsigt på tværs af platforme i potentielle trusler, så dit sikkerhedsteam effektivt kan fjerne falske positive og fokusere på at afdække avancerede trusler. Endnu bedre, hvis du skulle gå glip af noget, kan dette altid skræddersyes specifikt til dine behov.
Hvordan gør vi?
Udfordring
Identificering af trusselindikatorer, mens du arbejder med store mængder logfiler.
Løsning
Analytikere kan bruge søgninger med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselindikatorer. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til threat intelligence databasen eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang sætter vi dine analytikere i stand til at forenkle efterforskningsprocessen og fokusere på den faktiske trussel i intelligence dashboards til cybertrusler.
Søgningsseksempel:
source_address IN HOMENET | process ti(destination_address) | chart count() as cnt by cs_score, source_address order by cnt desc
Udfordring
Vanskeligheder med at definere korrekt cybersikkerhedsrisiko.
Løsning
Baseret på den unikke taksonomi for trusselsindikator-score kan analytikere drage fordel af fuldautomatiske hændelses respons mekanismer ved hjælp af søgninger til numerisk sammenligning. Yderligere kan de forstå den geografiske fordeling af angrebskilderne.
Advarselssøgninger kan defineres baseret på scoringerne for trusselsindikatorer, risikoværdier / funktioner og på oprindelseslandet for hver af disse alarmer. Med denne automatisering af trusselsunderretning bemyndiger vi dit sikkerhedsteam til at træffe bedre informerede strategiske valg, der fører til mere effektiv reaktion og afhjælpning end nogensinde før.
Søgningseksempel:
norm_id=* | process ti(destination_address) | search cs_score>80 | process geoip(destination_address) as country | chart count() by country() order by count() desc
Udfordring
Historisk analyse er ikke mulig.
Løsning
Ved at bruge både statisk og dynamisk berigelse kan analytikere drage fordel af et unikt sæt af valgmuligheder og dermed udnytte threat intelligence bedst muligt i LogPoint.
Ved statistisk at forstærke enhver trusselsindikator (IP adresse eller domænenavn) kan dine analytikere få øjeblikkeligt overblik over potentielle risici. I LogPoint SIEM Threat Intelligence forklares risiko altid ved et antal forstærkede key-value par som kategori og risikoscore. Disse key-value par vil derefter blive indekseret og gemt på diskene, indtil de ryddes af opbevaringspolitikken.
Trusselskilder kan ikke altid detekteres i nærheden af realtid, hvilket fører til alvorlige angreb, der ikke opdages. For at undgå lignende scenarier gør dynamisk forstærkning i LogPoint det muligt for analytikere at undersøge angreb i retroperspektiv og dermed afdække indikatorer, som ellers er svære at spotte.
Søgningseksempel:
Static: Without the usage of “process ti()” command
norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address
Dynamic: Using “process ti()” command
norm_id=* | process ti(destination_address)
+ 1 STIX/TAXII support
STIX / TAXII bruger RESTful API med en særlig definition af tjenester og meddelelser til dataudveksling. LogPoint bruger STIX 1.x-feed i JSON-format ved at stille API-anmodninger til STIX / TAXII-serveren.
Nødvendige parametre:
- url: komplet værtsnavn på feed-serveren
- brugernavn: identifikation for at få adgang til feedet
- adgangskode: adgangskode til godkendelse
- indbringningsinterval: tidsinterval, hvor det nye feed hentes
- aldersgrænse: tidsinterval, for hvilket feedet bevares
Når LogPoint bruger et sådan trusselsfeed, analyseres det i overensstemmelse med standard LogPoint SIEM Threat Intelligence taksonomi, hvilket resulterer i problemfri og hurtig opsætning
Den bedste del?
LogPoint Threat Intelligence Application er et gratis plugin, der følger med en LogPoint licens. Download tilgængelig via vores Help Center.