Top-Anwendungsfälle
für Sicherheit
Operationen

Top Use Cases

In der heutigen globalisierten, digitalen Wirtschaft ist es unerlässlich, die Daten Ihres Unternehmens zu überwachen und vor fortschrittlichen Cyber-Bedrohungen zu schützen. Dies wird aufgrund zu vieler Tools, Mangel an Sicherheitskenntnissen und Alarmmüdigkeit immer komplizierter. Moderne SIEM-Lösungen von heute ermöglichen es Ihrem Unternehmen, im Falle einer Bedrohung oder eines Datenlecks schnell und präzise zu reagieren.

Eine moderne SIEM-Lösung bietet Verwaltung, Integration, Korrelation und Analyse an einem Ort und erleichtert die Überwachung und Fehlerbehebung Ihrer IT-Infrastruktur in Echtzeit über eine einzige Schnittstelle. Für Ihre Verwendung haben wir eine breite Palette von Anwendungsfällen mit zugehörigen Logpoint-Beispielen erstellt, um Ihnen bei der besseren Planung Ihrer Verteidigungsstrategie zu helfen.

SOX compliance

SOX oder The Sarbanes-Oxley Act (kurz SOX) wurde 2002 in den USA verabschiedet und verlangt, dass alle börsennotierten Unternehmen eine Rahmenordnung interner Kontrollen einführen und bestätigen, dass die Rechenschaftspflicht und Integrität des Finanzberichterstattungsprozesses unterstützt. In der Praxis bedeutet dies, das Bestreben zu unterstützen, „die Aktionäre und die Öffentlichkeit vor Buchhaltungsfehlern und betrügerischen Praktiken in Unternehmen zu schützen und die Genauigkeit der Unternehmensoffenlegung zu verbessern“ (Quelle: Digital Guardian: What is SOX Compliance? 2019 SOX Requirements & More, Juliana De Groot). Organisationen müssen in der Lage sein, darzustellen, wo sensible Daten gespeichert sind, wie sie gespeichert sind und wer Zugang zu ihnen hat. Da das Verfolgen Ihrer sensiblen Daten und die Regulierung des Zugriffs auf Ihr Netzwerk und Ihre Systeme der Eckpfeiler der SOX-Konformität ist, macht ein SIEM, das diese Informationen für Sie sammelt, analysiert und visualisiert, die Einhaltung der SOX-Konformität müheloser und effizienter denn je.

Überwachung kritischer Systeme

Kritische Systeme, die sensible Informationen enthalten, sollten ständig überwacht werden, um jede verdächtige Aktivität aufzudecken. LogPoint unterstützt dynamische Listen und Tabellen und gewährleistet so eine ständige Risikobewertung. In LogPoint sammeln und speichern dynamische Listen spezifische Werte von Ereignissen und ermöglichen dynamische Aktualisierungen unter Verwendung von Werten aus Protokollmeldungen, während dynamische Tabellen bestimmte Felder und Feldwerte während der Laufzeit speichern, die als Anreicherungsquellen verwendet werden können. Durch die Möglichkeit für Analysten, dynamische Listen und Tabellen zu definieren, können Unternehmen die Zeit verkürzen, um Vorfälle schneller zu erkennen und darauf zu reagieren. Durch die Kombination dynamischer Listen mit statischer Anreicherung ermöglichen wir unseren Kunden auch die Erstellung selbstkonfigurierender Analysen, um automatisch auf neue Beobachtungen an den Daten zu reagieren und so die Reaktion zu beschleunigen.

Beispiel: Unprivilegierte Verbindungen zu kritischen Systemen

LogPoint SIEM use cases: Un-privileged connections to critical systems

Log sources: Firewall

Query
label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc

Gewährleistung der Netzwerksicherheit

Die Netzwerksicherheit stellt sicher, dass die CIA-Triade für die Netzwerkinfrastruktur und die damit verbundenen Daten erfüllt wird. Die drei Komponenten der Triade sind Vertraulichkeit, Integrität und Verfügbarkeit. Die Vertraulichkeit stellt sicher, dass nicht autorisierte Benutzer oder nicht autorisierte Netzwerke nicht auf Ihr Netzwerk zugreifen können. Die Integrität gewährleistet, dass Dateien oder Daten, die sich entweder im Stillstand oder in Bewegung befinden, vor unbefugten Änderungen geschützt sind. Die Verfügbarkeit garantiert, dass das System und das Netzwerk jederzeit einsatzbereit sind.

LogPoint lässt sich in eine breite Palette von Netzwerk- und Firewall-Geräten integrieren. Die Daten von diesen Geräten können normalisiert, aggregiert, angereichert und korreliert werden, um die Sicherheit innerhalb des Netzwerks zu gewährleisten. Darüber hinaus können Threat Intelligence-Feeds dazu verwendet werden, die Protokolldaten anzureichern, um zu verstehen, ob das Netzwerk von einem externen Angreifer angegriffen wird. LogPoint kann verschiedene Aktivitäten überprüfen, z. B. erlaubte und verweigerte Verbindungen, die Nutzung von Daten und Anwendungen, die Verbindung zu Bedrohungsquellen oder andere verdächtige Aktivitäten. Jedes Asset, jedes System oder Gerät in einer Netzwerkaktivität, die in Verbindung zu mehreren Hochrisikoindikatoren steht, deutet darauf hin, dass die Sicherheitslage des Netzwerks gefährdet ist. LogPoint kann solche Bedrohungen durch die Verwendung von Join-Anfragen zwischen der Firewall und den Aufzeichnungen zum Scannen von Schwachstellen identifizieren. Außerdem können die Ergebnisse, die dieser Bedingung entsprechen, auf eine Verbindung mit einem Kompromissindikator überprüft werden. Diese Aktivität kann durch die Verwendung dynamischer Listen vereinfacht werden, wobei ständig eine Liste der gefährdeten Systeme geführt wird und jedes Mal, wenn eine Verbindung von einem IOC zu den Werten in der Liste hergestellt wird, ein Alarm ausgelöst wird.

LogPoint SIEM use cases: Network security

Log sources: Firewall, Vulnerability scanning

Query
[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* 
| process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address 
| rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent 
| chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

Überwachung der Richtlinien

IT-Richtlinien legen fest, welche sicherheitsbezogenen Richtlinien die Mitarbeiter einhalten sollten, um ein Höchstmaß an Sicherheit zu gewährleisten. Jede Änderung der IT-Richtlinien einer Organisation ist kritisch und sollte daher genau überwacht werden. LogPoint kann Richtlinienänderungen wie Audit, Authentifizierung, Autorisierung, Filterung und viele andere leicht erkennen.

Beispiel: Änderungen der Audit-Richtlinien

LogPoint SIEM use cases: Audit policy changes

Log sources: Windows Server

Query
label=Audit label=Policy label=Change | chart count() by log_ts, user, message

Rollenbasierte Zugriffskontrolle

LogPoint bietet Ihnen ein flexibles und dennoch leistungsstarkes Benutzer- und Kontomanagement mit einem rollenbasierten Zugriffskontrollmechanismus, bei dem der Benutzerzugriff über LDAP an AD gebunden werden kann, um die Erstellung von Benutzerkonten zu vereinfachen. Diese Benutzer können dann LogPoint-spezifischen Gruppen zugewiesen werden. Die Gruppenberechtigungen für das System sind auf einen rollenbasierten Ansatz für administrative Rechte ausgerichtet, der die vollständige Kontrolle über den Zugriff auf das Protokoll-Archiv und die Dashboard-Nutzung, Bedienerrechte für Daten und Analysezwecke sowie die Verwaltung von Benutzerkonten zur Verwaltung von Benutzern, Gruppen und Berechtigungen ermöglicht.