Demonstration af Threat Hunting

Med et stigende behov for flere intelligente, moderne SIEM-løsninger kræver virksomhederne nu handlingsrettede svar på en række sikkerheds- og forretningsmæssige udfordringer, som de står overfor. LogPoints Threat Hunting-funktioner, der inkluderer avancerede analyser, berigelse, korrelationer, UEBA og rapportering, gør det muligt at styrke den overordnede sikkerhedsgrad ved hjælp af en enkelt grænseflade.

LogPoints hændelsesresponsintegrationer leverer automatiserede arbejdsgange til berigelse i en forretningskontekst, Threat Intelligence og korrelation af logdata med netværksdata. Baseret på jeres organisations arbejdsgange bliver sikkerhedsteamet i stand til effektivt at indsamle dokumentation, opbygge sagen og løse den.

Sådan foregår det

Eksempel

Der er konstateret inficerede filer

Forespørsel

label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

Se nærmere på den første række, og find kontrolsummen.

Brug kontrolsummen til at zoome ind på Virus Total.

Konklusion

Markér med et flag, og foretag yderligere undersøgelser for at undersøge indvirkningen af de inficerede filer.

Markér med flag

Opret en hændelse, der skal følges op på.

Undersøgelse

Anvend den identificerede hash som filter.

Vælg hver bruger, der er tilknyttet de pågældende modtager-mails.

Brugeren Rita har mislykkede loginforsøg på forskellige servere.

Gå til søgesiden for at se detaljerne.

Eksempel

Mislykket loginforsøg for en bestemt bruger

Forespørsel

label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

Vælg en af de kilde-IP’er, der bruges af brugeren Rita, til at kontrollere, om der er andre mislykkede forsøg eller ej.
Bemærk, at der med kilde 192.168.2.101 er fire mislykkede forsøg fra samme kilde.

Eksempel

Mislykket loginforsøg for bestemt kilde

Se nærmere på denne hændelse.

Bemærk, at en deaktiveret konto forsøger at logge ind på domænecontrolleren. Substatuskoden 0xC0000072 vedrører faktisk, at login-forsøget mislykkedes for en deaktiveret konto.

Nu går vi tilbage til søgeskabelonen for at kontrollere, om der er IOC’er tilknyttet kilden 192.168.2.101.

Vi ser nærmere på kategorien “Malware Command And Control” for at kontrollere andre kildeadresser, der er knyttet til kilden.

Eksempel

Trusselsindikatorer for Malware Command And Control

Forespørgsel

category="Malware Command og Control" | chart count() by source_address

Afhjælpning/Rapportering

Under trusselsundersøgelsen identificerer vi, at brugeren Rita er kompromitteret og bør deaktiveres. Mens brugeren Rob skal slettes, hvis profilen ikke skal kunne aktiveres på et senere tidspunkt.

Foretag yderligere undersøgelser af hændelsen for at validere, om der tidligere har været aktiviteter i forhold til de identificerede trusselsindikatorer.

Eksempel

Trusselsindikatorer for Malware Command And Control er føjet til listen

Forespørsel

category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

Søg efter historiske hændelser for alle aktiviteter, der er tilknyttet IP’erne på listen ACTIVE_IOCS.

De inficerede systemer skal renses, og firewall-reglen skal opdateres for at blokere for forbindelserne til “Command And Control Servers”.

Eksempel

Enheter observert i listen over trusselindikatorer

Forespørsel

source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS