Wenn es um den Schutz sensibler Vermögenswerte geht, konzentrieren sich viele nur auf den Schutz vor Angriffen von außen wie z.B. Malware oder Datenschutzverletzungen. Tatsächlich stellen böswillige Insider die gleiche Bedrohung für Ihre Infrastruktur dar wie Outsider.

Wussten Sie, dass 53% der Organisationen bestätigten, in den letzten 12 Monaten Opfer eines Insiderangriffs geworden zu sein, und 27% der Organisationen gaben an, dass Insiderangriffe häufiger geworden sind? (Quelle: Cybersecurity Insiders: 2019 Insider Threat Report)

Die breite Palette von Anwendungsfällen in LogPoint UEBA unterstützt sowohl die Erkennung von Angriffen durch externe Angreifer als auch durch Insider innerhalb eines Unternehmens und steigert die Gesamteffizienz der Analysten.

Die FIM-Anwendung von LogPoint überwacht alle Arten von Zugriffsversuchen auf passwort-geschützen Dateifreigabesysteme und bietet Informationen zur Art des Zugriffs und zu den in der Datei ausgeführten Aktionen. Darüber hinaus können die ursprüngliche und die geänderte Prüfsumme verglichen werden, um das Zugriffsverhalten besser zu verstehen.

Log Quellen: FIM

LogPoint UEBA verwendet eine Mischung aus Endpunkt-, Active Directory- und Repository-Daten, um nach verdächtigen Verhaltensweisen zu suchen, die von der Basislinie abweichen.

Diese umfassen:

• Fehlgeschlagene Anmeldeversuche auf deaktivierte Konten
• Ungewöhnliche Aktivität abhängig von Wochentag oder Zeitpunkt
• Ungewöhnlicher Zugriff auf Server, Dateifreigaben, Anwendungen oder andere Ressourcen
• Ein ungewöhnlich hoher Zugriff auf bestimmte Ressourcen
• Anomale Anwendungsnutzung und anomale Zugriffsmuster auf den Speicher

Log Quellen: Windows Server, UEBA

Angegriffene Konten oder Computer versuchen normalerweise, Daten in Bereitstellungsbereiche zu verschieben, in denen sie leicht aus dem Netzwerk des Unternehmens entfernt werden können. Während der Vorbereitung zur Entfernung der Daten verwenden Angreifer Tools wie PSExec oder Remote-Desktop-Tools. In diesem Fall erkennt und hebt die UEBA außergewöhnliche Datenansammlungen und Lateral Movement hervor, einschließlich (der äußerst ungewöhnlichen) Datenübertragungen innerhalb der Workstation mit hohem Datenvolumen, ungewöhnlichen Protokoll- / Portkombinationen und ungewöhnlich hohen Datenzugriffsmengen.

Log Quellen: Firewall, Proxy

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Log Quellen: Firewall, Proxy

source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

LogPoint UEBA dient zur Identifizierung zugriffgeschützten Konten und verwendet Machine Learning, um den Rest zu erledigen. Die UEBA von LogPoint überwacht kontinuierlich privilegierte Konten, um Aktivitätszeit, Authentifizierung, Zugriff, Anwendungsnutzung und Datenverschiebung zu verfolgen und zu bewerten. LogPoint UEBA weist dann jedem Konto, das von der Basislinie abweicht, eine Risikobewertung zu. Wenn es weiterhin anomal handelt, erhöht sich die Risikobewertung. In der Zwischenzeit visualisieren LogPoint UEBA-Analysen die Aktivitäten des Kontos und alarmieren den Sicherheitsanalysten, um den Vorfall zu validieren und schnell Maßnahmen zu ergreifen.

Log Quellen: Windows Server

label=Authentication label=Fail | timechart count()

Systeme, die an abnormalem Verhalten beteiligt sind, können leicht mit Threat Intelligence-Feeds angereichert werden, um nach den zugehörigen Indikatoren eines Angriffs zu suchen. Darüber hinaus liefert Ihnen LogPoint den genauen geografischen Standort der Angriffsquelle.

Log Quellen: Firewall, Proxy, Threat Intelligence

risk_score=* -source_address in HOMENET 
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress 
| process geoip(SourceAddress) as country 
| chart count() by country, source_address order by count() desc limit 10