Top-Anwendungsfälle
für Sicherheit
Operationen

In der heutigen globalisierten, digitalen Wirtschaft ist es unerlässlich, die Daten Ihres Unternehmens zu überwachen und vor fortschrittlichen Cyber-Bedrohungen zu schützen. Dies wird aufgrund zu vieler Tools, Mangel an Sicherheitskenntnissen und Alarmmüdigkeit immer komplizierter. Moderne SIEM-Lösungen von heute ermöglichen es Ihrem Unternehmen, im Falle einer Bedrohung oder eines Datenlecks schnell und präzise zu reagieren.
Eine moderne SIEM-Lösung bietet Verwaltung, Integration, Korrelation und Analyse an einem Ort und erleichtert die Überwachung und Fehlerbehebung Ihrer IT-Infrastruktur in Echtzeit über eine einzige Schnittstelle. Für Ihre Verwendung haben wir eine breite Palette von Anwendungsfällen mit zugehörigen Logpoint-Beispielen erstellt, um Ihnen bei der besseren Planung Ihrer Verteidigungsstrategie zu helfen.
Erkennung von Malicious Insider Threats
Wenn es um den Schutz sensibler Vermögenswerte geht, konzentrieren sich viele nur auf den Schutz vor Angriffen von außen wie z.B. Malware oder Datenschutzverletzungen. Tatsächlich stellen böswillige Insider die gleiche Bedrohung für Ihre Infrastruktur dar wie Outsider.
Wussten Sie, dass 53% der Organisationen bestätigten, in den letzten 12 Monaten Opfer eines Insiderangriffs geworden zu sein, und 27% der Organisationen gaben an, dass Insiderangriffe häufiger geworden sind? (Quelle: Cybersecurity Insiders: 2019 Insider Threat Report)
Die breite Palette von Anwendungsfällen in LogPoint UEBA unterstützt sowohl die Erkennung von Angriffen durch externe Angreifer als auch durch Insider innerhalb eines Unternehmens und steigert die Gesamteffizienz der Analysten.
Reduzieren Sie benutzerbasierte Bedrohungen für privilegierte Dateien mit File Integrity Monitoring
Die FIM-Anwendung von LogPoint überwacht alle Arten von Zugriffsversuchen auf passwort-geschützen Dateifreigabesysteme und bietet Informationen zur Art des Zugriffs und zu den in der Datei ausgeführten Aktionen. Darüber hinaus können die ursprüngliche und die geänderte Prüfsumme verglichen werden, um das Zugriffsverhalten besser zu verstehen.

Log Quellen: FIM
Lateral Movement erkennen
LogPoint UEBA verwendet eine Mischung aus Endpunkt-, Active Directory- und Repository-Daten, um nach verdächtigen Verhaltensweisen zu suchen, die von der Basislinie abweichen.
Diese umfassen:
- Fehlgeschlagene Anmeldeversuche auf deaktivierte Konten
- Ungewöhnliche Aktivität abhängig von Wochentag oder Zeitpunkt
- Ungewöhnlicher Zugriff auf Server, Dateifreigaben, Anwendungen oder andere Ressourcen
- Ein ungewöhnlich hoher Zugriff auf bestimmte Ressourcen
- Anomale Anwendungsnutzung und anomale Zugriffsmuster auf den Speicher
Beispiel: Anmeldeversuche auf deaktivierte Konten fehlgeschlagen

Log Quellen: Windows Server, UEBA
Abfrage
Daten Staging und Exfiltration erkennen
Angegriffene Konten oder Computer versuchen normalerweise, Daten in Bereitstellungsbereiche zu verschieben, in denen sie leicht aus dem Netzwerk des Unternehmens entfernt werden können. Während der Vorbereitung zur Entfernung der Daten verwenden Angreifer Tools wie PSExec oder Remote-Desktop-Tools. In diesem Fall erkennt und hebt die UEBA außergewöhnliche Datenansammlungen und Lateral Movement hervor, einschließlich (der äußerst ungewöhnlichen) Datenübertragungen innerhalb der Workstation mit hohem Datenvolumen, ungewöhnlichen Protokoll- / Portkombinationen und ungewöhnlich hohen Datenzugriffsmengen.
Beispiele: Hohe ausgehende Datenübertragung

Log Quellen: Firewall, Proxy
Abfrage
sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10
Ausgehende Datenübertragung durch Quellen

Log Quellen: Firewall, Proxy
Abfrage
source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc
Angriffe auf zugriffsgeschützte Konten
LogPoint UEBA dient zur Identifizierung zugriffgeschützten Konten und verwendet Machine Learning, um den Rest zu erledigen. Die UEBA von LogPoint überwacht kontinuierlich privilegierte Konten, um Aktivitätszeit, Authentifizierung, Zugriff, Anwendungsnutzung und Datenverschiebung zu verfolgen und zu bewerten. LogPoint UEBA weist dann jedem Konto, das von der Basislinie abweicht, eine Risikobewertung zu. Wenn es weiterhin anomal handelt, erhöht sich die Risikobewertung. In der Zwischenzeit visualisieren LogPoint UEBA-Analysen die Aktivitäten des Kontos und alarmieren den Sicherheitsanalysten, um den Vorfall zu validieren und schnell Maßnahmen zu ergreifen.
Beispiel: Trend fehlgeschlagener Authentifizierungsversuches

Log Quellen: Windows Server
Abfrage
label=Authentication label=Fail | timechart count()
IoCs aufdecken
Systeme, die an abnormalem Verhalten beteiligt sind, können leicht mit Threat Intelligence-Feeds angereichert werden, um nach den zugehörigen Indikatoren eines Angriffs zu suchen. Darüber hinaus liefert Ihnen LogPoint den genauen geografischen Standort der Angriffsquelle.
Beispiel: Indikatoren einer Gefährdung durch Geolokalisierung

Log Quellen: Firewall, Proxy, Threat Intelligence
Abfrage
risk_score=* -source_address in HOMENET
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress
| process geoip(SourceAddress) as country
| chart count() by country, source_address order by count() desc limit 10