Top use cases
for sikkerheden
operationer
I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.
En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.
Operationel og politikrelateret indsigt
Enhver forsinkelse i din drift af IT-sikkerhed kan have en betydelig indflydelse på systemers performance og virksomhedensomdømme. Overvågning af applikations performance, integritet og hurtig fejlfinding er altafgørende for at holde din driften. Informationsanalyse og automatiseringsteknologier har vist sig at forbedre produktiviteten og reducere omkostningerne ved at hjælpe medarbejderne med at gøre mere med mindre.
Dataforbrug
Dette kan anvendes til både indgående og udgående dataforbrug. Overvågning af dataforbrug er en af de grundlæggende tilgange til at få et indblik i, hvordan netværket fungerer og reagerer på den eksterne datakommunikation. Enhver mærkelig adfærd, der vises ved brugsovervågningen, kan antyde mod mulig overbelastning, fejl eller mistænkelig aktivitet. Følgende diagram viser de samlede data, udgående data og indgående dataforbrug i MB.
Example: Samlet udgående dataforbrug
Log sources: Firewall
Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* |
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB,
sum((received_datasize)/1000/1000) as ReceivedMB
Brug af printer
Brug af printertjenester kan reguleres ved brug af LogPoint til at overvåge udskrivningsaktiviteterne. Det følgende diagram viser tidslinjen for, hvor meget udskrivning der udføres hver time sammen med antallet af forsøg. Derudover forklarer dette også forholdet mellem udskrevne dokumenter pr. forsøg.
Example: Brug af printerservice
Log sources: Windows Printer
Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour
Overvågning af adgangskodepolitikker
Organisationer håndhæver adgangskodepolitikker, der kræver nulstilling af ens adgangskode efter hvert X antal dage. Dette tidsinterval kan variere afhængigt af organisationens behov og sikkerhedskrav.
Derfor er det vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette bruger LogPoint LDAP-poster fra dine katalogservere eller domænecontrollere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste sæt-attribut for at identificere det nøjagtige antal dage, siden adgangskoden sidst blev nulstillet.
For at give et eksempel bruger følgende forespørgsel en LDAP tabel til at kontrollere adgangskoder, der er ældre end 365 dage.
Example:Adgangskodealdrende brugere
Log sources: LDAP
Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365
Brugere, der opretter forbindelse fra flere kilder
Example: Potentielle delte brugerkonti
Log sources: Windows Server, Other authentication sources
Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1