Avancerede cybertrusler er meget sofistikerede og er ofte målrettede cybersikkerhedstrusler med fokus på en bestemt industri, sektor, geografisk område eller endda individuelle organisationer. Standard anti-malware kontrol og endpoint løsninger undlader ofte at blokere eller forhindre disse angreb, da det at registrere dem kræver et kraftfuldt værktøj såsom en SIEM kombineret med threat intelligence og adfærdsanalyse. Husk, at cyberkriminelle kun behøver at finde en enkelt sårbarhed for at udføre et angreb; Derfor er nøglen til at forhindre datalækager at være proaktiv.

Analytikere kan bruge forespørgsler med generiske kommandoer til threat intelligence for kun at filtrere kritiske trusselsindikatorer ud. I LogPoint kan filtrering være generisk, hvilket giver dig alle matches til databasen for threat intelligence eller baseret på en bestemt trusselskategori eller trusselsscore. Med denne tilgang giver vi dine analytikere mulighed for at forenkle undersøgelsesprocessen og fokusere på den faktiske trussel.

Log sources: Firewall, Proxy, Threat Intelligence

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Baseret på LogPoints unikke taksonomi for trusselsindikatorscores kan analytikere drage fordel af fuldt automatiserede hændelsesresponsmekanismer ved hjælp af forespørgsler til numerisk sammenligning. Desuden kan de forstå den geografiske fordeling af angrebskilderne. Advarselsforespørgsler kan defineres baseret på scorerne for trusselsindikatorer, risikoværdier/funktioner og også baseret på oprindelseslandet for hver af disse advarsler. På den måde giver vi dit sikkerhedsteam mulighed for at træffe bedre informerede strategiske valg, hvilket fører til mere effektiv indsats og afhjælpning af hændelser end nogensinde før.

Log sources: Firewall, Proxy, Threat Intelligence, Dynamic List

I LogPoint Threat Intelligence er risikoen altid forklaret med en række berigede nøgleværdi-par såsom kategori og risikoscore. Disse nøgle-værdi-par vil derefter blive indekseret og gemt på diskene, indtil de ryddes af opbevaringspolitikken. Trusselskilder kan ikke altid opdages i nærheden af ​​realtid, hvilket fører til, at alvorlige angreb bliver uopdaget. For at undgå lignende scenarier giver dynamisk berigelse i LogPoint analytikere mulighed for retrospektivt at undersøge angreb og afdække indikatorer, der er svære at få øje på.

Den samme tilgang kan følges af en dynamisk liste, hvor analytikere kan oprette en dynamisk liste for ekstremt risikable IOC’er og opdatere listen for hver ny kamp til en trusselsindikator fra trusselsinformationsdatabasen. På denne måde kan den dynamiske liste bruges som en sortliste over IOC’er og kontrolleres i forhold til historiske logfiler for at identificere, om der tidligere var gået glip af noget af trusselsefterretningerne.

Log sources: Firewall, Proxy, Dynamic List

ip_address=* score>90 | process toList(IOCS,ip_address)

Log sources: Firewall, Proxy, Dynamic List

source_address IN IOCS | chart count() by source_address order by count() desc

Som standard kan LogPoint udføre avanceret korrelation af et hvilket som helst antal datakilder – internt, eksternt eller struktureret. Uanset om det er noget så simpelt som aggregering mellem to eller flere grupper af enheder som bruger- og kildeadresse til mislykkede logins eller at kombinere poster i flere logmeddelelser på tværs af flere datakilder ved hjælp af join og efterfulgt af forespørgsler, vil vi give dig advarsler i realtid om risikabel adfærd og uregelmæssige aktiviteter.

I LogPoint kan dynamiske lister også bruges til at udføre avancerede korrelationer på en række måder, såsom at oprette en dynamisk liste med IP-adresser eller værtsnavne til sårbare arbejdsstationer, der skal identificere enhver potentiel udnyttelse af en sårbarhed fra en trusselskilde. Effektiv loganalyse kræver udvinding af skjult information ved hjælp af en kraftfuld kombination af flere funktioner inden for analyse af data. Vi anvender agenter på ERP, databaser og HR-systemer til at indsamle data fra hele dit netværk og sikkerhedsenheder, servere og applikationer. Analytics understøttes derefter af vores kraftfulde indbyggede forespørgselssprog, threat intelligence, berigelse og andre avancerede matematiske funktioner og proceskommandoer.

Logkilder: Windows Server, any other source

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Det er vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette forbruger LogPoint LDAP-poster fra dine katalogservere eller domæne controllere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste attribut for at identificere det nøjagtige antal dage siden adgangskoden sidst blev nulstillet. For at give et eksempel bruger følgende forespørgsel en LDAP-tabel til at kontrollere adgangskoder, der er ældre end 365 dage.

Log kilder: LDAP

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Da ethvert system med en X mængde mislykkede forsøg før et vellykket login antyder et muligt brute-force forsøg, er kontrol af mislykkede login meget vigtig. I LogPoint kan du bruge følgende forespørgsel som et let middel til at kontrollere for 100 mislykkede forsøg før et vellykket login.

Logkilder: Windows Server, Authentication sources

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc