Detektion af trusler, malware og sårbarheder

Avancerede cybertrusler er meget sofistikerede og er ofte målrettede cybersikkerhedstrusler med fokus på en bestemt industri, sektor, geografisk område eller endda individuelle organisationer. Standard anti-malware kontrol og endpoint løsninger undlader ofte at blokere eller forhindre disse angreb, da det at registrere dem kræver et kraftfuldt værktøj såsom en SIEM kombineret med threat intelligence og adfærdsanalyse. Husk, at cyberkriminelle kun behøver at finde en enkelt sårbarhed for at udføre et angreb; Derfor er nøglen til at forhindre datalækager at være proaktiv.

Identificering af trusselsindikatorer, mens du arbejder med store mængder logfiler

Analytikere kan bruge forespørgsler med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselsindikatorer ud. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til databasen for threat intelligence eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang giver vi dine analytikere mulighed for at forenkle undersøgelsesprocessen og fokusere på den faktiske trussel.

Eksempel

Trusselsindikatorer i kategorier

LogPoint SIEM use cases: Trusler i systemer med højere privilegium

Log sources: Firewall, Proxy, Threat Intelligence

Forespørgsel

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Historisk analyse

Eksempler

Enheder med kritiske trusler tilføjet til dynamisk liste

LogPoint SIEM use cases: Kritiske trusselsenheder tilføjet til dynamiske lister

Log sources: Firewall, Proxy, Dynamiske lister

Forespørgsel

ip_address=* score>90 | process toList(IOCS,ip_address)

Enheder observeret på listen over trussels indikatorer

LogPoint SIEM use cases: Enheder observeret ved trusselsindikatorer

Log sources: Firewall, Proxy, Dynamiske lister

Forespørgsel

source_address IN IOCS | chart count() by source_address order by count() desc

Avanceret analysekorrelation og genkendelse af mønstre

Som standard kan LogPoint udføre avanceret korrelation af et hvilket som helst antal datakilder – internt, eksternt eller struktureret. Uanset om det er noget så simpelt som aggregering mellem to eller flere grupper af enheder som bruger- og kildeadresse til mislykkede logins eller at kombinere poster i flere logmeddelelser på tværs af flere datakilder ved hjælp af join og efterfulgt af forespørgsler, vil vi give dig advarsler i realtid om risikabel adfærd og uregelmæssige aktiviteter.

I LogPoint kan dynamiske lister også bruges til at udføre avancerede korrelationer på en række måder, såsom at oprette en dynamisk liste med IP-adresser eller værtsnavne til sårbare arbejdsstationer, der skal identificere enhver potentiel udnyttelse af en sårbarhed fra en trusselskilde. Effektiv loganalyse kræver udvinding af skjult information ved hjælp af en kraftfuld kombination af flere funktioner inden for analyse af data. Vi anvender agenter på ERP, databaser og HR-systemer til at indsamle data fra hele dit netværk og sikkerhedsenheder, servere og applikationer. Analytics understøttes derefter af vores kraftfulde indbyggede forespørgselssprog, threat intelligence, berigelse og andre avancerede matematiske funktioner og proceskommandoer.

Eksempel

Uvarende sessionsvarighed

LogPoint SIEM use cases: Ikke-udløbne sessionsforløb skærm K

Logkilder: Windows Server, enhver anden kilde

Forespørgsel

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Overvågning af aldring af adgangskode

Det er vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette forbruger LogPoint LDAP-poster fra dine katalogservere eller domæne controllere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste attribut for at identificere det nøjagtige antal dage siden adgangskoden sidst blev nulstillet. For at give et eksempel bruger følgende forespørgsel en LDAP-tabel til at kontrollere adgangskoder, der er ældre end 365 dage.

Eksempel

Brugere med aldrende adgangskoder

LogPoint SIEM use cases: Ældende password brugere

Log kilder: LDAP

Forespørgsel

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Registrer forsøg på brute-force angreb

Da ethvert system med en X mængde mislykkede forsøg før et vellykket login antyder et muligt brute-force forsøg, er kontrol af mislykkede login meget vigtig. I LogPoint kan du bruge følgende forespørgsel som et let middel til at kontrollere for 100 mislykkede forsøg før et vellykket login.

Eksempel

Potentielle brute-force angrebsforsøg

LogPoint SIEM use cases: Potentielle forsøg på angreb

Logkilder: Windows Server, godkendelseskilder

Forespørgsel

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc