Når det kommer til beskyttelsen af ​​følsomme aktiver, fokuserer mange kun på forsvar mod eksterne angreb såsom malware eller databrud. I virkeligheden udgør ondsindede insidere den samme mængde trussel mod din infrastruktur som outsidere gør.

Vidste du, at 53% af organisationer bekræftede i en undersøgelse, at de var blevet offer for et insider angreb i de foregående 12 måneder, og 27% af organisationerne siger, at insider angreb er blevet hyppigere? (Kilde: Cybersecurity Insiders: 2019 Insider Threat Report)

Den brede vifte af use cases, der er inkluderet i LogPoint UEBA, understøtter både påvisning af udførte angreb, der er bosiddende i en organisation, hvilket øger analytikernes samlede effektivitet.

LogPoints FIM applikation overvåger enhver form for adgangsforsøg til privilegerede fildelingssystemer og giver information om typen af ​​adgang og de handlinger, der udføres i filen. Derudover kan den originale og de ændrede kontrolsummer også sammenlignes for bedre at forstå adgangsadfærd.

Log sources: FIM

LogPoint UEBA bruger en blanding af slutpunkts-, Active Directory- og arkivdata til at scanne for mistænkelig adfærd, der afviger fra basislinjen.

Disse inkluderer:

• Mislykkede loginforsøg på deaktiverede konti
• Anormal aktivitet efter ugedag eller tidspunkt på dagen
• Anormal adgang til servere, fildelinger, applikationer eller andre ressourcer
• En anormal stor mængde adgang til bestemte ressourcer
• Unormal applikationsbrug og uregelmæssige adgangsmønstre til opbevaring

Log sources: Windows Server, UEBA

Kompromitterede konti eller maskiner forsøger normalt at flytte data til mellemstationer, hvor de let kan trækkes ud af organisationens netværk. Under forberedelsen af ​​dataene til fjernelse vil angribere bruge værktøjer som PSExec eller remote desktop. I dette tilfælde vil UEBA registrere og fremhæve unormale mellemstationer og laterale movements inklusiv (den meget anormale) intra-arbejdsstation dataoverførsler med høj volumen, anormale kombinationer af protokol/port og anormalt store mængder dataadgang.

Logkilder: Firewall, Proxy

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Logkilder: Firewall, Proxy

source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

LogPoint UEBA er designet til at identificere privilegerede konti og bruger machine learning til at gøre resten. LogPoints UEBA overvåger løbende privilegerede konti for at spore og score aktivitetstid, godkendelse, adgang, applikationsbrug og dataflytning. LogPoint UEBA tildeler derefter en risikoscore til enhver konto, der afviger fra normalen, og hvis den fortsætter med at handle unormalt, stiger risikoscoren. I mellemtiden visualiserer LogPoints UEBA analyser kontoens aktivitet og advarer sikkerhedsanalytikeren om at validere hændelsen og handle hurtigt.

Logkilder: Windows Server

label=Authentication label=Fail | timechart count()

Systemer, der er involveret i enhver unormal adfærd, kan let beriges med Threat Intelligence feeds for at kontrollere de tilknyttede indikatorer for kompromittering. Derudover giver LogPoint dig den præcise geografiske placering på kilden til angrebet.

Logkilder: Firewall, Proxy, Threat Intelligence

risk_score=* -source_address in HOMENET 
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress 
| process geoip(SourceAddress) as country 
| chart count() by country, source_address order by count() desc limit 10