Erkennung von Malicious Insider Threats

Wenn es um den Schutz sensibler Vermögenswerte geht, konzentrieren sich viele nur auf den Schutz vor Angriffen von außen wie z.B. Malware oder Datenschutzverletzungen. Tatsächlich stellen böswillige Insider die gleiche Bedrohung für Ihre Infrastruktur dar wie Outsider.

Wussten Sie, dass 53% der Organisationen bestätigten, in den letzten 12 Monaten Opfer eines Insiderangriffs geworden zu sein, und 27% der Organisationen gaben an, dass Insiderangriffe häufiger geworden sind? (Quelle: Cybersecurity Insiders: 2019 Insider Threat Report)

Die breite Palette von Anwendungsfällen in LogPoint UEBA unterstützt sowohl die Erkennung von Angriffen durch externe Angreifer als auch durch Insider innerhalb eines Unternehmens und steigert die Gesamteffizienz der Analysten.

Reduzieren Sie benutzerbasierte Bedrohungen für privilegierte Dateien mit File Integrity Monitoring

Die FIM-Anwendung von LogPoint überwacht alle Arten von Zugriffsversuchen auf passwort-geschützen Dateifreigabesysteme und bietet Informationen zur Art des Zugriffs und zu den in der Datei ausgeführten Aktionen. Darüber hinaus können die ursprüngliche und die geänderte Prüfsumme verglichen werden, um das Zugriffsverhalten besser zu verstehen.

SIEM use cases File Integrity Monitoring Screen K

Log Quellen: FIM

Lateral Movement erkennen

LogPoint UEBA verwendet eine Mischung aus Endpunkt-, Active Directory- und Repository-Daten, um nach verdächtigen Verhaltensweisen zu suchen, die von der Basislinie abweichen.

Diese umfassen:

  • Fehlgeschlagene Anmeldeversuche auf deaktivierte Konten
  • Ungewöhnliche Aktivität abhängig von Wochentag oder Zeitpunkt
  • Ungewöhnlicher Zugriff auf Server, Dateifreigaben, Anwendungen oder andere Ressourcen
  • Ein ungewöhnlich hoher Zugriff auf bestimmte Ressourcen
  • Anomale Anwendungsnutzung und anomale Zugriffsmuster auf den Speicher

Beispiel

Anmeldeversuche auf deaktivierte Konten fehlgeschlagen

Fehlgeschlagene Login-Versuche über deaktivierte Benutzerkonten

Log Quellen: Windows Server, UEBA

Abfrage

label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()

Daten Staging und Exfiltration erkennen

Angegriffene Konten oder Computer versuchen normalerweise, Daten in Bereitstellungsbereiche zu verschieben, in denen sie leicht aus dem Netzwerk des Unternehmens entfernt werden können. Während der Vorbereitung zur Entfernung der Daten verwenden Angreifer Tools wie PSExec oder Remote-Desktop-Tools. In diesem Fall erkennt und hebt die UEBA außergewöhnliche Datenansammlungen und Lateral Movement hervor, einschließlich (der äußerst ungewöhnlichen) Datenübertragungen innerhalb der Workstation mit hohem Datenvolumen, ungewöhnlichen Protokoll- / Portkombinationen und ungewöhnlich hohen Datenzugriffsmengen.

Beispiele

Hohe ausgehende Datenübertragung

LogPoint SIEM use cases: Hohe ausgehende Datenübertragung

Log Quellen: Firewall, Proxy

Abfrage

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Ausgehende Datenübertragung durch Quellen

LogPoint SIEM use cases: Ausgehende Datenübertragung durch Quellen

Log Quellen: Firewall, Proxy

Abfrage

source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

Angriffe auf zugriffsgeschützte Konten

LogPoint UEBA dient zur Identifizierung zugriffgeschützten Konten und verwendet Machine Learning, um den Rest zu erledigen. Die UEBA von LogPoint überwacht kontinuierlich privilegierte Konten, um Aktivitätszeit, Authentifizierung, Zugriff, Anwendungsnutzung und Datenverschiebung zu verfolgen und zu bewerten. LogPoint UEBA weist dann jedem Konto, das von der Basislinie abweicht, eine Risikobewertung zu. Wenn es weiterhin anomal handelt, erhöht sich die Risikobewertung. In der Zwischenzeit visualisieren LogPoint UEBA-Analysen die Aktivitäten des Kontos und alarmieren den Sicherheitsanalysten, um den Vorfall zu validieren und schnell Maßnahmen zu ergreifen.

Beispiel

Trend fehlgeschlagener Authentifizierungsversuches

SIEM use cases: Trend fehlgeschlagener Authentifizierungsversuche

Log Quellen: Windows Server

Abfrage

label=Authentication label=Fail | timechart count()

IoCs aufdecken

Systeme, die an abnormalem Verhalten beteiligt sind, können leicht mit Threat Intelligence-Feeds angereichert werden, um nach den zugehörigen Indikatoren eines Angriffs zu suchen. Darüber hinaus liefert Ihnen LogPoint den genauen geografischen Standort der Angriffsquelle.

Beispiel

Indikatoren einer Gefährdung durch Geolokalisierung

LogPoint SIEM use cases: Indikatoren einer Gefährdung von geolocation

Log Quellen: Firewall, Proxy, Threat Intelligence

Abfrage

risk_score=* -source_address in HOMENET | process ti(source_address)|search et_ip_address=* OR cs_ip_address=*|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress | process geoip(SourceAddress) as country | chart count() by country, source_address order by count() desc limit 10