Styrk dine sikkerhedsanalytikere med SIEM Threat Intelligence

Nøglen til avanceret sporing af trusler er at forstå dine sårbarheder samt at have tilstrækkelig erfaring og viden til at afbøde trusler. Selvom indikatorer for risici ofte er vanskelige at identificere, og forberedelse imod hver eneste nye trussel er umulig, kan du dog gøre brug af de bedste tilgængelige kilder til Threat Intelligence. Dette vil hjælpe din organisation med at prioritere og reagere på truslerinden de resulterer i store konsekvenser

Threat Intelligence automatisering, et aspekt af en holistisk cybersikkerhedsstrategi, hjælper dig med at forstå risici relateret til de mest almindelige og alvorlige eksterne trusler, såsom zero-day trusler, advanced persistent threats og exploits. Det giver dig mulighed for at indsamle og analysere data om de nyeste trusler fra en bred vifte af kilder. Threat Intelligence information fra sikkerhedsleverandører, efterretningsgrupper og forbindelser til dit eget netværk hjælper dig med at afværge angreb ved at starte sikkerhedsaktiviteter for at stoppe adfærd og undgå hændelser med ond hensigt.

Vi er overbevist om, at automatisering af Threat Intelligence er et aspekt af cybersikkerhed, som ingen med ansvar for et netværk har råd til at ignorere. Dets rolle i netværksforsvar er nu bevist, og de indsamlede trusselsdata har en ubestridelig værdi for organisationer. Faktisk giver de beslutningstagere et pålideligt grundlag for at bekræfte fordelene og konsekvenserne af deres beslutninger.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

At være proaktiv er løsningen

Feeds i realtid kombinerer intelligens og tidligere erfaringer fra andre organisationer i en enkelt kilde, der giver dit team kontekstuelle oplysninger for at træffe bedre informerede strategiske valg og hermed afbøde angreb.

Dog er det at identificere en trussel inden for store mængder indsamlet data som at finde en nål i en høstak. Du spørger måske:

    • Hvad leder jeg efter?
    • Hvordan kan jeg skelne mellem normal og ondsindet aktivitet, der kan signalere et angreb?

</ ul >

Årsagen til at integrationen af ​​SIEM og TI betragtes af nogle som et problem ligger i manglen på kalibrering. Hos LogPoint mener vi, at det ikke er mængden af ​​information, men den rigtige implementering af det, der fører til resultater.

Mens løbende analyse af virksomhedens logdata alene er værdifuld, er næste generations beskyttelse mod avancerede trusler kun mulig ved at sammenligne din interne data med de relevante indikatorer for kompromis. Ved at optimere din interne data med de trusler, din sektor er mest udsat for, skaber LogPoint SIEM integreret med TI feeds sammen en fokuseret løsning for at få mest muligt ud af din virksomheds log-data.

Integration af SIEM og Threat Intelligence sikrer, at kunderne endnu hurtigere oplever korrelation mellem truslerne og styring for at forbedre deres evne til at overvåge, administrere og afhjælpe cybertrusler. Ved at udnytte LogPoints arkitektur kan organisationer nu drage fordel af en hurtigere evne til at korrelere flere trusselsindikatorer genereret indenfor deres perimeter med ekstern threat IOCs.

Vi sætter ikke kun dit sikkerhedsteam i stand til at være proaktiv, når det kommer til at forsvare dine kritiske aktiver, vi hjælper dig også med at opnå fuld situationsbevidsthed, så du altid vil vide:

    • Hvornår du er blevet angrebet?
    • Er der et nyt potentielt angreb på vej? < / li>
    • Hvem er målet i din organisation? Hvorfor?
    • Hvilke sårbarheder planlægger angriberne at udnytte?

Threat Intelligence drevet af LogPoint SIEM

LogPoint SIEM threat intelligence applikationen tilbyder en enkel og effektiv threat intelligence platform til at identificere nye trusler i din infrastruktur, der integreres med mere end 100 threat intelligence feeds. Ved at udnytte LogPoints ene taksonomi konverteres data til et simpelt format bestående af et “fælles sprog”, hvorefter LogPoint sammenligner det med din virksomheds logdata.

Herved kan analytikere automatisere eventsøgninger ved at screene flere tusinder af indikationer på kompromittering (IoCs) for at evaluere trusler baseret på kendte angreb. Beskyttelse af ​​infrastrukturen er afhængig af kendskab til de karakteristiske teknikker ved en trussel for at identificere og indsamle data om denne angrebsmetode eller andet bevis for kompromittering.

At opnå analyse af data, der muliggør modsvar på trusler, er altid en mere kompleks udfordring under hensyntagen til den permanente udvikling af risiko og angrebsmetoder. LogPoint screener ikke kun flere tusinder af indikationer på kompromis for at advare dig om kendte angreb. Logpoint beder også proaktivt om handling såsom at blokere kendte skadelige IP adresser, hvis en advarsel om en potentiel trussel stiger.

En fleksibel platform, der passer til din organisations behov

Threat Intelligence automatisering i LogPoint giver mulighed for at generere alarmer uanset datastruktur, taksonomi og semantik. Med LogPoint SIEM Threat Intelligence kan du drage fordel af et bredt udvalg af kommercielle, community-drevne og open source top threat intelligence værktøjer eller feeds, såsom Emerging Threats eller Critical Stack og STIX / TAXII-kompatible udbydere. Vi understøtter også csv-format til threat intelligence feeds. Ved dette kan du få realtidsindsigt på tværs af platforme i potentielle trusler, så dit sikkerhedsteam effektivt kan fjerne falske positive og fokusere på at afdække avancerede trusler. Endnu bedre, hvis du skulle gå glip af noget, kan dette altid skræddersyes specifikt til dine behov.

Hvordan gør vi?

LogPoint Threat Intelligence Indicators widget

Udfordring

Identificering af trusselindikatorer, mens du arbejder med store mængder logfiler.

Løsning

Analytikere kan bruge søgninger med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselindikatorer. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til threat intelligence databasen eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang sætter vi dine analytikere i stand til at forenkle efterforskningsprocessen og fokusere på den faktiske trussel i intelligence dashboards til cybertrusler.

Søgningsseksempel:
source_address IN HOMENET | process ti(destination_address) | chart count() as cnt by cs_score, source_address order by cnt desc

LogPoint Threat Intelligence Indicators widget
LogPoint Threat Intelligence Geografisk fordeling widget

Udfordring

Vanskeligheder med at definere korrekt cybersikkerhedsrisiko.

Løsning

Baseret på den unikke taksonomi for trusselsindikator-score kan analytikere drage fordel af fuldautomatiske hændelses respons mekanismer ved hjælp af søgninger til numerisk sammenligning. Yderligere kan de forstå den geografiske fordeling af angrebskilderne.

Advarselssøgninger kan defineres baseret på scoringerne for trusselsindikatorer, risikoværdier / funktioner og på oprindelseslandet for hver af disse alarmer. Med denne automatisering af trusselsunderretning bemyndiger vi dit sikkerhedsteam til at træffe bedre informerede strategiske valg, der fører til mere effektiv reaktion og afhjælpning end nogensinde før.

Søgningseksempel:
norm_id=* | process ti(destination_address) | search cs_score>80 | process geoip(destination_address) as country | chart count() by country() order by count() desc

LogPoint Threat Intelligence Enrichment widget

Udfordring

Historisk analyse er ikke mulig.

Løsning

Ved at bruge både statisk og dynamisk berigelse kan analytikere drage fordel af et unikt sæt af valgmuligheder og dermed udnytte threat intelligence bedst muligt i LogPoint.

Ved statistisk at forstærke enhver trusselsindikator (IP adresse eller domænenavn) kan dine analytikere få øjeblikkeligt overblik over potentielle risici. I LogPoint SIEM Threat Intelligence forklares risiko altid ved et antal forstærkede key-value par som kategori og risikoscore. Disse key-value par vil derefter blive indekseret og gemt på diskene, indtil de ryddes af opbevaringspolitikken.

Trusselskilder kan ikke altid detekteres i nærheden af ​​realtid, hvilket fører til alvorlige angreb, der ikke opdages. For at undgå lignende scenarier gør dynamisk forstærkning i LogPoint det muligt for analytikere at undersøge angreb i retroperspektiv og dermed afdække indikatorer, som ellers er svære at spotte.

Søgningseksempel:
Static: Without the usage of “process ti()” command
norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address

Dynamic: Using “process ti()” command
norm_id=* | process ti(destination_address)

LogPoint Threat Intelligence Enrichment widget

+ 1 STIX/TAXII support

STIX / TAXII bruger RESTful API med en særlig definition af tjenester og meddelelser til dataudveksling. LogPoint bruger STIX 1.x-feed i JSON-format ved at stille API-anmodninger til STIX / TAXII-serveren.

Nødvendige parametre:

  • url: komplet værtsnavn på feed-serveren
  • brugernavn: identifikation for at få adgang til feedet
  • adgangskode: adgangskode til godkendelse
  • indbringningsinterval: tidsinterval, hvor det nye feed hentes
  • aldersgrænse: tidsinterval, for hvilket feedet bevares

Når LogPoint bruger et sådan trusselsfeed, analyseres det i overensstemmelse med standard LogPoint SIEM Threat Intelligence taksonomi, hvilket resulterer i problemfri og hurtig opsætning

Den bedste del?

LogPoint Threat Intelligence Application er et gratis plugin, der følger med en LogPoint licens. Download tilgængelig via vores Help Center.

Learn more…