Top use cases
for sikkerheden
operationer

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.
En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.
Detektion af trusler, malware og sårbarheder
Avancerede cybertrusler er meget sofistikerede og er ofte målrettede cybersikkerhedstrusler med fokus på en bestemt industri, sektor, geografisk område eller endda individuelle organisationer. Standard anti-malware kontrol og endpoint løsninger undlader ofte at blokere eller forhindre disse angreb, da det at registrere dem kræver et kraftfuldt værktøj såsom en SIEM kombineret med threat intelligence og adfærdsanalyse. Husk, at cyberkriminelle kun behøver at finde en enkelt sårbarhed for at udføre et angreb; Derfor er nøglen til at forhindre datalækager at være proaktiv.
Identificering af trusselsindikatorer, mens du arbejder med store mængder logfiler
Analytikere kan bruge forespørgsler med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselsindikatorer ud. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til databasen for threat intelligence eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang giver vi dine analytikere mulighed for at forenkle undersøgelsesprocessen og fokusere på den faktiske trussel.
Eksempel: Trusselsindikatorer i kategorier

Log sources: Firewall, Proxy, Threat Intelligence
Forespørgsel
| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc
Definier korrekt stilling for cybersikkerhedsrisiko
Baseret på LogPoints unikke taksonomi for trusselsindikatorscores kan analytikere drage fordel af fuldt automatiserede hændelsesresponsmekanismer ved hjælp af forespørgsler til numerisk sammenligning. Desuden kan de forstå den geografiske fordeling af angrebskilderne. Advarselsforespørgsler kan defineres baseret på scorerne for trusselsindikatorer, risikoværdier/funktioner og også baseret på oprindelseslandet for hver af disse advarsler. På den måde giver vi dit sikkerhedsteam mulighed for at træffe bedre informerede strategiske valg, hvilket fører til mere effektiv indsats og afhjælpning af hændelser end nogensinde før.
Log sources: Firewall, Proxy, Threat Intelligence, Dynamic List
Historisk analyse
I LogPoint Threat Intelligence er risikoen altid forklaret med en række berigede nøgleværdi-par såsom kategori og risikoscore. Disse nøgle-værdi-par vil derefter blive indekseret og gemt på diskene, indtil de ryddes af opbevaringspolitikken. Trusselskilder kan ikke altid opdages i nærheden af realtid, hvilket fører til, at alvorlige angreb bliver uopdaget. For at undgå lignende scenarier giver dynamisk berigelse i LogPoint analytikere mulighed for retrospektivt at undersøge angreb og afdække indikatorer, der er svære at få øje på.
Den samme tilgang kan følges af en dynamisk liste, hvor analytikere kan oprette en dynamisk liste for ekstremt risikable IOC’er og opdatere listen for hver ny kamp til en trusselsindikator fra trusselsinformationsdatabasen. På denne måde kan den dynamiske liste bruges som en sortliste over IOC’er og kontrolleres i forhold til historiske logfiler for at identificere, om der tidligere var gået glip af noget af trusselsefterretningerne.
Eksempler: Enheder med kritiske trusler tilføjet til dynamisk liste

Log sources: Firewall, Proxy, Dynamic List
Query
ip_address=* score>90 | process toList(IOCS,ip_address)
Enheder observeret på listen over trussels indikatorer

Log sources: Firewall, Proxy, Dynamic List
Forespørgsel
source_address IN IOCS | chart count() by source_address order by count() desc
Avanceret analysekorrelation og genkendelse af mønstre
Som standard kan LogPoint udføre avanceret korrelation af et hvilket som helst antal datakilder – internt, eksternt eller struktureret. Uanset om det er noget så simpelt som aggregering mellem to eller flere grupper af enheder som bruger- og kildeadresse til mislykkede logins eller at kombinere poster i flere logmeddelelser på tværs af flere datakilder ved hjælp af join og efterfulgt af forespørgsler, vil vi give dig advarsler i realtid om risikabel adfærd og uregelmæssige aktiviteter.
I LogPoint kan dynamiske lister også bruges til at udføre avancerede korrelationer på en række måder, såsom at oprette en dynamisk liste med IP-adresser eller værtsnavne til sårbare arbejdsstationer, der skal identificere enhver potentiel udnyttelse af en sårbarhed fra en trusselskilde. Effektiv loganalyse kræver udvinding af skjult information ved hjælp af en kraftfuld kombination af flere funktioner inden for analyse af data. Vi anvender agenter på ERP, databaser og HR-systemer til at indsamle data fra hele dit netværk og sikkerhedsenheder, servere og applikationer. Analytics understøttes derefter af vores kraftfulde indbyggede forespørgselssprog, threat intelligence, berigelse og andre avancerede matematiske funktioner og proceskommandoer.
Eksempel: Uvarende sessionsvarighed

Logkilder: Windows Server, any other source
Forespørgsel
[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc
Overvågning af aldring af adgangskode
Det er vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette forbruger LogPoint LDAP-poster fra dine katalogservere eller domæne controllere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste attribut for at identificere det nøjagtige antal dage siden adgangskoden sidst blev nulstillet. For at give et eksempel bruger følgende forespørgsel en LDAP-tabel til at kontrollere adgangskoder, der er ældre end 365 dage.
Eksempel: Brugere med aldrende adgangskoder

Log kilder: LDAP
Forespørgsel
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365
Registrer forsøg på brute-force angreb
Da ethvert system med en X mængde mislykkede forsøg før et vellykket login antyder et muligt brute-force forsøg, er kontrol af mislykkede login meget vigtig. I LogPoint kan du bruge følgende forespørgsel som et let middel til at kontrollere for 100 mislykkede forsøg før et vellykket login.
Eksempel: Potentielle brute-force angrebsforsøg

Logkilder: Windows Server, Authentication sources
Forespørgsel
[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc