Operationel og politikrelateret indsigt

Enhver forsinkelse i din drift af IT-sikkerhed kan have en betydelig indflydelse på systemers performance og virksomhedensomdømme. Overvågning af applikations performance, integritet og hurtig fejlfinding er altafgørende for at holde din driften. Informationsanalyse og automatiseringsteknologier har vist sig at forbedre produktiviteten og reducere omkostningerne ved at hjælpe medarbejderne med at gøre mere med mindre.

Dataforbrug

Dette kan anvendes til både indgående og udgående dataforbrug. Overvågning af dataforbrug er en af ​​de grundlæggende tilgange til at få et indblik i, hvordan netværket fungerer og reagerer på den eksterne datakommunikation. Enhver mærkelig adfærd, der vises ved brugsovervågningen, kan antyde mod mulig overbelastning, fejl eller mistænkelig aktivitet. Følgende diagram viser de samlede data, udgående data og indgående dataforbrug i MB.

Eksempel

Samlet udgående dataforbrug

LogPoint SIEM use cases: Overall outbound data usage

Logkilder: Firewall

Forespørgsel

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

Brug af printer

Brug af printertjenester kan reguleres ved brug af LogPoint til at overvåge udskrivningsaktiviteterne. Det følgende diagram viser tidslinjen for, hvor meget udskrivning der udføres hver time sammen med antallet af forsøg. Derudover forklarer dette også forholdet mellem udskrevne dokumenter pr. forsøg.

Eksempel

Brug af printerservice

LogPoint SIEM use cases: Usage of printer

Logkilder: Windows Printer

Forespørgsel

label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Overvågning af adgangskodepolitikker

Organisationer håndhæver adgangskodepolitikker, der kræver nulstilling af ens adgangskode efter hvert X antal dage. Dette tidsinterval kan variere afhængigt af organisationens behov og sikkerhedskrav. 

Derfor er det vigtigt at overvåge, om der er aldrende adgangskoder i en organisation. For at opnå dette bruger LogPoint LDAP-poster fra dine katalogservere eller domænecontrollere. LogPoint forespørgsler med kraftige matematiske algoritmer kan bruges til at analysere adgangskodens sidste sæt-attribut for at identificere det nøjagtige antal dage, siden adgangskoden sidst blev nulstillet.

For at give et eksempel bruger følgende forespørgsel en LDAP tabel til at kontrollere adgangskoder, der er ældre end 365 dage

Eksempel

Adgangskodealdrende brugere

LogPoint SIEM use cases: Password ageing users

Logkilder: LDAP

Forespørgsel

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Brugere, der opretter forbindelse fra flere kilder

Eksempel

Potentielle delte brugerkonti

LogPoint SIEM use cases: Potential shared user accounts

Logkilder: Windows Server, andre godkendelseskilder

Forespørgsel

label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1