Top use cases
for sikkerheden
operationer

Top Use Cases

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.

En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.

PCI-DSS compliance

PCI-DSS, eller betalingskortsektorens datasikkerhedsstandard, er en international standard, der sikrer beskyttelsen af ​​kortholderens data mod potentielt misbrug eller tyveri.

For organisationer, der håndterer betalingskorttransaktioner, er overholdelse af PCI DSS (Payment Card Industry – Data Security Standard) afgørende for at forblive i forretning. For at forblive kompatibel kræver PCI-DSS, at dens emner skal:

  • Spore og overvåge al adgang til netværksressourcer og kortholderdata.

  • Sikre revisionsspor, så de ikke kan ændres.

  • Regelmæssigt teste sikkerhedssystemer og processer.

  • Implementere værktøjer til overvågning af filintegritet for at advare personale om uautoriseret ændring af kritiske systemfiler, konfigurationsfiler eller indholdsfiler.

  • Konfigurer softwaren til at udføre kritiske filsammenligninger mindst ugentligt.

At imødekomme disse forventninger kan være svært, tidskrævende og dyrt, men det behøver ikke være sådan for LogPoint brugere.

Revisionsstøtte

LogPoint SIEMs oprindelige logopbevaring gør det muligt at gemme alarm- og begivenhedsinformation til senere forensic analyse af hændelser eller mistænkelig aktivitet. På denne måde gøres det væsentligt lettere at møde compliance mål for ændringsrevision og logopbevaring, såsom PCI DSS.

Overvågning af brugeraktivitet

Overvågning af brugeraktivitet har længe været hjørnestenen i enhver effektiv forsvarsstrategi. Efter design giver LogPoint analytikere et intuitivt og kraftfuldt værktøj til at identificere ondsindede aktiviteter, oprette alarmer, dashboards og rapporter, så de kan få et overblik og modvirke med det samme.

Primært til databeskyttelse og regler fokuserer brugeraktivitetsovervågning på aktiviteter, der er forbundet med filadgang. LogPoint kan overvåge dette ved hjælp af oprindelige objektadgangsrevisionsregistreringer. Derudover overvåger LogPoints FIM applikation ethvert adgangsforsøg til privilegerede fildelingssystemer og giver information om typen af ​​adgang og de handlinger, der udføres i filen. Derudover kan den originale og de ændrede kontrolsummer også sammenlignes for bedre at forstå adgangsadfærd.

Example: Objekt adgangsforsøg

LogPoint SIEM use cases: Object access attempts

Log sources: Windows Server

Query
label=Object label=Access | chart count() by user, access, object order by count() desc

Identificering af trusselindikatorer forbundet med en udført malware payload

LogPoints FIM er et effektivt værktøj til at overvåge oprettelsen af ​​nye filer eller ændringer i filens udvidelse, der angiver udførelse af malware payload. Hash-værdien, der er angivet af Integrity Monitoren, kan sammenlignes med den samlede virus-database og identificerer den tilknyttede trussel.

LogPoint SIEM use cases: Executed malware payload
LogPoint SIEM use cases: Executed malware payload

Log sources: FIM, Virus Total

Overvågning af uautoriserede og mistænkelige netværksforbindelser

LogPoint giver dig via design mulighed for at opdage mistænkelig og/eller uautoriseret netværksadfærd såsom forbindelsesforsøg på lukkede porte, blokerede interne forbindelser, forbindelser foretaget til kendte dårlige destinationer, anmodninger startet fra ikke-tillid til zoner, mistænkelig systemadgang og mange flere.

Example: Nægtede forbindelser fra internettet

LogPoint SIEM use cases: Denied connections from the internet

Log sources: Firewall

Query
label=Connection label=Deny | process compare_network(source_address, destination_address) | search source_address_public=true | chart count() by source_address order by count() desc limit 10