Detektering af skadelige insider trusler

Når det kommer til beskyttelsen af ​​følsomme aktiver, fokuserer mange kun på forsvar mod eksterne angreb såsom malware eller databrud. I virkeligheden udgør ondsindede insidere den samme mængde trussel mod din infrastruktur som outsidere gør.

Vidste du, at 53% af organisationer bekræftede i en undersøgelse, at de var blevet offer for et insider angreb i de foregående 12 måneder, og 27% af organisationerne siger, at insider angreb er blevet hyppigere? (Kilde: Cybersecurity Insiders: 2019 Insider Threat Report)

Den brede vifte af use cases, der er inkluderet i LogPoint UEBA, understøtter både påvisning af udførte angreb, der er bosiddende i en organisation, hvilket øger analytikernes samlede effektivitet.

Afbryd brugerbaserede trusler mod privilegerede filer med File Integrity Monitoring

LogPoints FIM applikation overvåger enhver form for adgangsforsøg til privilegerede fildelingssystemer og giver information om typen af ​​adgang og de handlinger, der udføres i filen. Derudover kan den originale og de ændrede kontrolsummer også sammenlignes for bedre at forstå adgangsadfærd.

SIEM use cases File Integrity Monitoring Screen K

Logkilder: FIM

Registrering af lateral movement

LogPoint UEBA bruger en blanding af slutpunkts-, Active Directory- og arkivdata til at scanne for mistænkelig adfærd, der afviger fra basislinjen.

Disse inkluderer:

  • Mislykkede loginforsøg på deaktiverede konti
  • Anormal aktivitet efter ugedag eller tidspunkt på dagen
  • Anormal adgang til servere, fildelinger, applikationer eller andre ressourcer
  • En anormal stor mængde adgang til bestemte ressourcer
  • Unormal applikationsbrug og uregelmæssige adgangsmønstre til opbevaring

Eksempel

Mislykkede loginforsøg på deaktiverede konti

Mislykkedes login forsøg på deaktiverede konti

Logkilder: Windows Server, UEBA

Forespørgsel

label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()

Registrering af datastaging og exfiltration

Kompromitterede konti eller maskiner forsøger normalt at flytte data til mellemstationer, hvor de let kan trækkes ud af organisationens netværk. Under forberedelsen af ​​dataene til fjernelse vil angribere bruge værktøjer som PSExec eller remote desktop. I dette tilfælde vil UEBA registrere og fremhæve unormale mellemstationer og laterale movements inklusiv (den meget anormale) intra-arbejdsstation dataoverførsler med høj volumen, anormale kombinationer af protokol/port og anormalt store mængder dataadgang.

Eksempel

Høj udgående dataoverførsel

LogPoint SIEM use cases: High Outbound Data Transfer

Logkilder: Firewall, Proxy

Forespørgsel

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Udgående dataoverførsel efter kilder

LogPoint SIEM use cases: Outbound data transfer by sources

Logkilder: Firewall, Proxy

Forespørgsel

source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

Kompromis med privilegerede konti

LogPoint UEBA er designet til at identificere privilegerede konti og bruger machine learning til at gøre resten. LogPoints UEBA overvåger løbende privilegerede konti for at spore og score aktivitetstid, godkendelse, adgang, applikationsbrug og dataflytning. LogPoint UEBA tildeler derefter en risikoscore til enhver konto, der afviger fra normalen, og hvis den fortsætter med at handle unormalt, stiger risikoscoren. I mellemtiden visualiserer LogPoints UEBA analyser kontoens aktivitet og advarer sikkerhedsanalytikeren om at validere hændelsen og handle hurtigt.

Eksempel

Trend for mislykkede godkendelsesforsøg

SIEM use cases: Trend of failed authentication attempts

Logkilder: Windows Server

Forespørgsel

label=Authentication label=Fail | timechart count()

Afdækning af IoCs

Systemer, der er involveret i enhver unormal adfærd, kan let beriges med Threat Intelligence feeds for at kontrollere de tilknyttede indikatorer for kompromittering. Derudover giver LogPoint dig den præcise geografiske placering på kilden til angrebet.

Eksempel

Indikatorer for kompromittering ved geolokalisering

LogPoint SIEM use cases: Indicators of compromise by geolocation

Logkilder: Firewall, Proxy, Threat Intelligence

Forespørgsel

risk_score=* -source_address in HOMENET | process ti(source_address)|search et_ip_address=* OR cs_ip_address=*|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress | process geoip(SourceAddress) as country | chart count() by country, source_address order by count() desc limit 10