Top use cases
for sikkerheden
operationer

Top Use Cases

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.

En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.

Operationel og politikrelateret indsigt

Enhver forsinkelse i din drift af IT-sikkerhed kan have en betydelig indflydelse på systemers performance og virksomhedensomdømme. Overvågning af applikations performance, integritet og hurtig fejlfinding er altafgørende for at holde din driften. Informationsanalyse og automatiseringsteknologier har vist sig at forbedre produktiviteten og reducere omkostningerne ved at hjælpe medarbejderne med at gøre mere med mindre.

Dataforbrug

Dette kan anvendes til både indgående og udgående dataforbrug. Overvågning af dataforbrug er en af ​​de grundlæggende tilgange til at få et indblik i, hvordan netværket fungerer og reagerer på den eksterne datakommunikation. Enhver mærkelig adfærd, der vises ved brugsovervågningen, kan antyde mod mulig overbelastning, fejl eller mistænkelig aktivitet. Følgende diagram viser de samlede data, udgående data og indgående dataforbrug i MB.

Example: Samlet udgående dataforbrug

LogPoint SIEM use cases: Overall outbound data usage

Log sources: Firewall

Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | 
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, 
sum((received_datasize)/1000/1000) as ReceivedMB

Brug af printer

Brug af printertjenester kan reguleres ved brug af LogPoint til at overvåge udskrivningsaktiviteterne. Det følgende diagram viser tidslinjen for, hvor meget udskrivning der udføres hver time sammen med antallet af forsøg. Derudover forklarer dette også forholdet mellem udskrevne dokumenter pr. forsøg.

Example: Brug af printerservice

LogPoint SIEM use cases: Usage of printer

Log sources: Windows Printer

Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Overvågning af adgangskodepolitikker

Organisationer håndhæver adgangskodepolitikker, der kræver nulstilling af ens adgangskode efter hvert X antal dage. Dette tidsinterval kan variere afhængigt af organisationens behov og sikkerhedskrav.

Derfor er det vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette bruger LogPoint LDAP-poster fra dine katalogservere eller domænecontrollere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste sæt-attribut for at identificere det nøjagtige antal dage, siden adgangskoden sidst blev nulstillet.

For at give et eksempel bruger følgende forespørgsel en LDAP tabel til at kontrollere adgangskoder, der er ældre end 365 dage.

Example:Adgangskodealdrende brugere

LogPoint SIEM use cases: Password ageing users

Log sources: LDAP

Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Brugere, der opretter forbindelse fra flere kilder

Example: Potentielle delte brugerkonti

LogPoint SIEM use cases: Potential shared user accounts

Log sources: Windows Server, Other authentication sources

Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1