Top use cases
for sikkerheden
operationer

Top Use Cases

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.

En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.

Detektion af trusler, malware og sårbarheder

Avancerede cybertrusler er meget sofistikerede og er ofte målrettede cybersikkerhedstrusler med fokus på en bestemt industri, sektor, geografisk område eller endda individuelle organisationer. Standard anti-malware kontrol og endpoint løsninger undlader ofte at blokere eller forhindre disse angreb, da det at registrere dem kræver et kraftfuldt værktøj såsom en SIEM kombineret med threat intelligence og adfærdsanalyse. Husk, at cyberkriminelle kun behøver at finde en enkelt sårbarhed for at udføre et angreb; Derfor er nøglen til at forhindre datalækager at være proaktiv.

Identificering af trusselsindikatorer, mens du arbejder med store mængder logfiler

Analytikere kan bruge forespørgsler med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselsindikatorer ud. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til databasen for threat intelligence eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang giver vi dine analytikere mulighed for at forenkle undersøgelsesprocessen og fokusere på den faktiske trussel.

Eksempel: Trusselsindikatorer i kategorier

LogPoint SIEM use cases: Trusler i systemer med højere privilegium

Log sources: Firewall, Proxy, Threat Intelligence

Forespørgsel
| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Definier korrekt stilling for cybersikkerhedsrisiko

Baseret på LogPoints unikke taksonomi for trusselsindikatorscores kan analytikere drage fordel af fuldt automatiserede hændelsesresponsmekanismer ved hjælp af forespørgsler til numerisk sammenligning. Desuden kan de forstå den geografiske fordeling af angrebskilderne. Advarselsforespørgsler kan defineres baseret på scorerne for trusselsindikatorer, risikoværdier/funktioner og også baseret på oprindelseslandet for hver af disse advarsler. På den måde giver vi dit sikkerhedsteam mulighed for at træffe bedre informerede strategiske valg, hvilket fører til mere effektiv indsats og afhjælpning af hændelser end nogensinde før.

Log sources: Firewall, Proxy, Threat Intelligence, Dynamic List

Historisk analyse

I LogPoint Threat Intelligence er risikoen altid forklaret med en række berigede nøgleværdi-par såsom kategori og risikoscore. Disse nøgle-værdi-par vil derefter blive indekseret og gemt på diskene, indtil de ryddes af opbevaringspolitikken. Trusselskilder kan ikke altid opdages i nærheden af ​​realtid, hvilket fører til, at alvorlige angreb bliver uopdaget. For at undgå lignende scenarier giver dynamisk berigelse i LogPoint analytikere mulighed for retrospektivt at undersøge angreb og afdække indikatorer, der er svære at få øje på.

Den samme tilgang kan følges af en dynamisk liste, hvor analytikere kan oprette en dynamisk liste for ekstremt risikable IOC’er og opdatere listen for hver ny kamp til en trusselsindikator fra trusselsinformationsdatabasen. På denne måde kan den dynamiske liste bruges som en sortliste over IOC’er og kontrolleres i forhold til historiske logfiler for at identificere, om der tidligere var gået glip af noget af trusselsefterretningerne.

Eksempler: Enheder med kritiske trusler tilføjet til dynamisk liste

LogPoint SIEM use cases: Kritiske trusselsenheder tilføjet til dynamiske lister

Log sources: Firewall, Proxy, Dynamic List

Query

ip_address=* score>90 | process toList(IOCS,ip_address)

Enheder observeret på listen over trussels indikatorer

LogPoint SIEM use cases: Enheder observeret ved trusselsindikatorer

Log sources: Firewall, Proxy, Dynamic List

Forespørgsel
source_address IN IOCS | chart count() by source_address order by count() desc

Avanceret analysekorrelation og genkendelse af mønstre

Som standard kan LogPoint udføre avanceret korrelation af et hvilket som helst antal datakilder – internt, eksternt eller struktureret. Uanset om det er noget så simpelt som aggregering mellem to eller flere grupper af enheder som bruger- og kildeadresse til mislykkede logins eller at kombinere poster i flere logmeddelelser på tværs af flere datakilder ved hjælp af join og efterfulgt af forespørgsler, vil vi give dig advarsler i realtid om risikabel adfærd og uregelmæssige aktiviteter.

I LogPoint kan dynamiske lister også bruges til at udføre avancerede korrelationer på en række måder, såsom at oprette en dynamisk liste med IP-adresser eller værtsnavne til sårbare arbejdsstationer, der skal identificere enhver potentiel udnyttelse af en sårbarhed fra en trusselskilde. Effektiv loganalyse kræver udvinding af skjult information ved hjælp af en kraftfuld kombination af flere funktioner inden for analyse af data. Vi anvender agenter på ERP, databaser og HR-systemer til at indsamle data fra hele dit netværk og sikkerhedsenheder, servere og applikationer. Analytics understøttes derefter af vores kraftfulde indbyggede forespørgselssprog, threat intelligence, berigelse og andre avancerede matematiske funktioner og proceskommandoer.

Eksempel: Uvarende sessionsvarighed

LogPoint SIEM use cases: Ikke-udløbne sessionsforløb skærm K

Logkilder: Windows Server, any other source

Forespørgsel
[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Overvågning af aldring af adgangskode

Det er vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette forbruger LogPoint LDAP-poster fra dine katalogservere eller domæne controllere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste attribut for at identificere det nøjagtige antal dage siden adgangskoden sidst blev nulstillet. For at give et eksempel bruger følgende forespørgsel en LDAP-tabel til at kontrollere adgangskoder, der er ældre end 365 dage.

Eksempel: Brugere med aldrende adgangskoder

LogPoint SIEM use cases: Ældende password brugere

Log kilder: LDAP

Forespørgsel
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Registrer forsøg på brute-force angreb

Da ethvert system med en X mængde mislykkede forsøg før et vellykket login antyder et muligt brute-force forsøg, er kontrol af mislykkede login meget vigtig. I LogPoint kan du bruge følgende forespørgsel som et let middel til at kontrollere for 100 mislykkede forsøg før et vellykket login.

Eksempel: Potentielle brute-force angrebsforsøg

LogPoint SIEM use cases: Potentielle forsøg på angreb

Logkilder: Windows Server, Authentication sources

Forespørgsel
[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc