SOX compliance

SOX eller Sarbanes-Oxley Act (SOX) blev vedtaget i 2002 i USA og kræver, at alle børsnoterede virksomheder implementerer og bekræfter et framework for intern kontrol, der understøtter regnskabsaflæggelse og integritet i den finansielle rapporteringsproces. I praksis er dette et forsøg på at “beskytte aktionærer og offentligheden mod regnskabsfejl og svigagtig praksis i virksomheder og forbedre nøjagtigheden af ​​oplysninger om virksomheder.” (Kilde: Digital Guardian: What. is SOX Compliance? 2019 SOX Requirements & More, Juliana De Groot). Organisationer skal være i stand til at præsentere, hvor følsomme data er gemt, hvordan de opbevares, og hvem der har adgang til dem. Da styring af din følsomme data og regulering af adgang til dit netværk og systemer er hjørnestenen i SOX compliance, er et SIEM system uundværligt til at indsamle, analysere og visualisere disse oplysninger for dig, hvilket gør compliance mere ubesværet og effektivt end nogensinde.

Overvågning af kritiske systemer

Kritiske systemer, der indeholder følsomme oplysninger, bør konstant overvåges for at opdage mistænkelig aktivitet. LogPoint understøtter dynamiske lister og tabeller, hvilket sikrer konstant risikovurdering. I LogPoint indsamler og gemmer dynamiske lister specifikke værdier fra begivenheder og giver mulighed for dynamiske opdateringer ved hjælp af værdier fra log meddelelser, mens dynamiske tabeller gemmer specificerede felter og feltværdier under kørsel, der skal bruges som berigelseskilder. Ved at sætte analytikere i stand til at definere dynamiske lister og tabeller kan organisationer reducere tiden til at opdage og reagere på hændelser hurtigere. Ved at kombinere dynamiske lister med statisk berigelse giver vi også vores kunder mulighed for at opbygge selvkonfigurerende analyser, der automatisk reagerer på nye observationer af data og dermed fremskynder responstiden.

Eksempel

Ikke-privilegerede forbindelser til kritiske systemer

LogPoint SIEM use cases: Ikke-priviligerede forbindelser til kritiske systemer

Log sources: Firewall

Forespørgsel

label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc

Sikring af netværkssikkerhed

Netværkssikkerhed sikrer, at CIA triaden for netværksinfrastruktur og relaterede data er opfyldt. De tre komponenter i triaden er fortrolighed, integritet og tilgængelighed. Fortrolighed sikrer, at dit netværk ikke får adgang til uautoriserede brugere eller fra uautoriserede netværk. Integritet garanterer, at filer eller data i hvile eller bevægelse er beskyttet mod uautoriseret ændring. Tilgængelighed garanterer, at systemet og netværket er i gang, når det er nødvendigt.

LogPoint integreres med en lang række netværks- og firewall-enheder. Data fra disse enheder kan normaliseres, aggregeres, beriges og korreleres for at sikre sikkerheden i netværket. Desuden kan Threat Intelligence feeds bruges til at berige logdata for at forstå, om netværket målrettes af en ekstern angriber. LogPoint kan kontrollere forskellige aktiviteter såsom tilladte og nægtede forbindelser, brug af data og applikationer, forbindelse til trusselskilder eller andre mistænkelige aktiviteter. Ethvert aktiv, system eller enhed i en netværksaktivitet, når det er forbundet med flere højrisikoindikatorer, antyder, at netværkets sikkerhedsstilling er i fare. LogPoint kan identificere sådanne trusler ved hjælp af forbindelsesforespørgsler mellem firewall- og sårbarhedsscanningsposter. Resultaterne, der matcher denne betingelse, kan også kontrolleres for tilknytning til en indikator for kompromis. Denne aktivitet kan forenkles ved brug af dynamiske lister, hvor en liste over sårbare systemer konstant opretholdes, og en alarm udløses, hver gang der oprettes en forbindelse fra en IOC til værdierne på listen.

LogPoint SIEM use cases: Netværkssikkerhed

Logkilder: Firewall, scanning af sårbarhed

Forespørgsel

[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent | chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

Politikovervågning

IT-politikker definerer, hvilke sikkerhedsrelaterede retningslinjer medarbejdere skal overholde for at opretholde det højeste sikkerhedsniveau. Enhver ændring af en organisations IT-politikker er kritisk og bør derfor overvåges nøje. LogPoint kan let registrere politiske ændringer såsom revision, godkendelse, filtrering og mange flere.

Eksempel

Revisionspolitiske ændringer

LogPoint SIEM use cases: Revisionpolitiske ændringer

Log kilder: Windows Server

Forespørgsel

label=Audit label=Policy label=Change | chart count() by log_ts, user, message

Rollebaseret adgangskontrol

LogPoint giver dig fleksibel men alligevel effektiv bruger- og kontoadministration drevet af en rollebaseret adgangskontrolmekanisme, hvor brugeradgang kan knyttes til AD via LDAP for en forenklet oprettelse af brugerkonti. Disse brugere kan derefter tildeles til LogPoints specifikke grupper. Gruppetilladelser til systemet er tilpasset en rollebaseret tilgang til administrative rettigheder, hvilket giver fuld kontrol over adgang til stederne for log opbevaring og brug af dashboard, operatørrettigheder til data, analytiske formål og administration af brugerkonti til administration af brugere, grupper og tilladelser.