Top use cases
for sikkerheden
operationer

Top Use Cases

I nutidens globaliserede, digitale økonomi er det vigtigt at overvåge og beskytte din virksomheds data mod avancerede cybertrusler. Dette bliver mere og mere kompliceret på grund af for mange værktøjer, mangel på sikkerhedskvalifikationer og alarmtræthed. Nutidens moderne SIEM-løsninger sætter din virksomhed i stand til at reagere hurtigt og præcist i tilfælde af en trussel eller datalæk.

En moderne SIEM-løsning giver administration, integration, korrelation og analyse ét sted, hvilket gør det nemmere at overvåge og fejlfinde din it-infrastruktur i realtid fra én enkelt grænseflade. Til din brug har vi lavet en bred vifte af use-cases med tilhørende Logpoint-eksempler for at hjælpe dig med bedre at planlægge din forsvarsstrategi.

Demonstration af Threat Hunting

Med et stigende behov for flere intelligente, moderne SIEM-løsninger kræver virksomhederne nu handlingsrettede svar på en række sikkerheds- og forretningsmæssige udfordringer, som de står overfor. LogPoints Threat Hunting-funktioner, der inkluderer avancerede analyser, berigelse, korrelationer, UEBA og rapportering, gør det muligt at styrke den overordnede sikkerhedsgrad ved hjælp af en enkelt grænseflade.

LogPoints hændelsesresponsintegrationer leverer automatiserede arbejdsgange til berigelse i en forretningskontekst, Threat Intelligence og korrelation af logdata med netværksdata. Baseret på jeres organisations arbejdsgange bliver sikkerhedsteamet i stand til effektivt at indsamle dokumentation, opbygge sagen og løse den.

Sådan foregår det

Example: Der er konstateret inficerede filer

Query
label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

Se nærmere på den første række, og find kontrolsummen.

Brug kontrolsummen til at zoome ind på Virus Total.

Konklusion

Markér med et flag, og foretag yderligere undersøgelser for at undersøge indvirkningen af de inficerede filer.

Markér med flag

Opret en hændelse, der skal følges op på.

Undersøgelse

Anvend den identificerede hash som filter.

Vælg hver bruger, der er tilknyttet de pågældende modtager-mails.

Brugeren Rita har mislykkede loginforsøg på forskellige servere.

Gå til søgesiden for at se detaljerne.

Example: Mislykket loginforsøg for en bestemt bruger

Query
label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

Vælg en af de kilde-IP’er, der bruges af brugeren Rita, til at kontrollere, om der er andre mislykkede forsøg eller ej.
Bemærk, at der med kilde 192.168.2.101 er fire mislykkede forsøg fra samme kilde.

Example: Mislykket loginforsøg for bestemt kilde

Se nærmere på denne hændelse.

Bemærk, at en deaktiveret konto forsøger at logge ind på domænecontrolleren. Substatuskoden 0xC0000072 vedrører faktisk, at login-forsøget mislykkedes for en deaktiveret konto.

Nu går vi tilbage til søgeskabelonen for at kontrollere, om der er IOC’er tilknyttet kilden 192.168.2.101.

Vi ser nærmere på kategorien “Malware Command And Control” for at kontrollere andre kildeadresser, der er knyttet til kilden.

Example: Trusselsindikatorer for Malware Command And Control

Query
category="Malware Command And Control" | chart count() by source_address

Afhjælpning/Rapportering

Under trusselsundersøgelsen identificerer vi, at brugeren Rita er kompromitteret og bør deaktiveres. Mens brugeren Rob skal slettes, hvis profilen ikke skal kunne aktiveres på et senere tidspunkt.

Foretag yderligere undersøgelser af hændelsen for at validere, om der tidligere har været aktiviteter i forhold til de identificerede trusselsindikatorer.

Trusselsindikatorer for Malware Command And Control er føjet til listen

Query
category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

Søg efter historiske hændelser for alle aktiviteter, der er tilknyttet IP’erne på listen ACTIVE_IOCS.

De inficerede systemer skal renses, og firewall-reglen skal opdateres for at blokere for forbindelserne til “Command And Control Servers”.

Example: Enheter observert i listen over trusselindikatorer

Query
source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS