Top use cases
for sikkerheden
operationer

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.
En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.
Detektering af skadelige insider trusler
Når det kommer til beskyttelsen af følsomme aktiver, fokuserer mange kun på forsvar mod eksterne angreb såsom malware eller databrud. I virkeligheden udgør ondsindede insidere den samme mængde trussel mod din infrastruktur som outsidere gør.
Vidste du, at 53% af organisationer bekræftede i en undersøgelse, at de var blevet offer for et insider angreb i de foregående 12 måneder, og 27% af organisationerne siger, at insider angreb er blevet hyppigere? (Kilde: Cybersecurity Insiders: 2019 Insider Threat Report)
Den brede vifte af use cases, der er inkluderet i LogPoint UEBA, understøtter både påvisning af udførte angreb, der er bosiddende i en organisation, hvilket øger analytikernes samlede effektivitet.
Afbryd brugerbaserede trusler mod privilegerede filer med File Integrity Monitoring
LogPoints FIM applikation overvåger enhver form for adgangsforsøg til privilegerede fildelingssystemer og giver information om typen af adgang og de handlinger, der udføres i filen. Derudover kan den originale og de ændrede kontrolsummer også sammenlignes for bedre at forstå adgangsadfærd.

Log sources: FIM
Registrering af lateral movement
LogPoint UEBA bruger en blanding af slutpunkts-, Active Directory- og arkivdata til at scanne for mistænkelig adfærd, der afviger fra basislinjen.
Disse inkluderer:
- Mislykkede loginforsøg på deaktiverede konti
- Anormal aktivitet efter ugedag eller tidspunkt på dagen
- Anormal adgang til servere, fildelinger, applikationer eller andre ressourcer
- En anormal stor mængde adgang til bestemte ressourcer
- Unormal applikationsbrug og uregelmæssige adgangsmønstre til opbevaring
Eksempel: Mislykkede loginforsøg på deaktiverede konti

Log sources: Windows Server, UEBA
Forespørgsel
label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()
label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()
Registrering af datastaging og exfiltration
Kompromitterede konti eller maskiner forsøger normalt at flytte data til mellemstationer, hvor de let kan trækkes ud af organisationens netværk. Under forberedelsen af dataene til fjernelse vil angribere bruge værktøjer som PSExec eller remote desktop. I dette tilfælde vil UEBA registrere og fremhæve unormale mellemstationer og laterale movements inklusiv (den meget anormale) intra-arbejdsstation dataoverførsler med høj volumen, anormale kombinationer af protokol/port og anormalt store mængder dataadgang.
Eksempel: Høj udgående dataoverførsel

Logkilder: Firewall, Proxy
Forespørgsel
sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10
Udgående dataoverførsel efter kilder

Logkilder: Firewall, Proxy
Forespørgsel
source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc
Kompromis med privilegerede konti
LogPoint UEBA er designet til at identificere privilegerede konti og bruger machine learning til at gøre resten. LogPoints UEBA overvåger løbende privilegerede konti for at spore og score aktivitetstid, godkendelse, adgang, applikationsbrug og dataflytning. LogPoint UEBA tildeler derefter en risikoscore til enhver konto, der afviger fra normalen, og hvis den fortsætter med at handle unormalt, stiger risikoscoren. I mellemtiden visualiserer LogPoints UEBA analyser kontoens aktivitet og advarer sikkerhedsanalytikeren om at validere hændelsen og handle hurtigt.
Eksempel: Trend for mislykkede godkendelsesforsøg

Logkilder: Windows Server
Forespørgsel
label=Authentication label=Fail | timechart count()
Afdækning af IoCs
Systemer, der er involveret i enhver unormal adfærd, kan let beriges med Threat Intelligence feeds for at kontrollere de tilknyttede indikatorer for kompromittering. Derudover giver LogPoint dig den præcise geografiske placering på kilden til angrebet.
Eksempel: Indikatorer for kompromittering ved geolokalisering

Logkilder: Firewall, Proxy, Threat Intelligence
Forespørgsel
risk_score=* -source_address in HOMENET
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress
| process geoip(SourceAddress) as country
| chart count() by country, source_address order by count() desc limit 10