Top-Anwendungsfälle
für Sicherheit
Operationen
In der heutigen globalisierten, digitalen Wirtschaft ist es unerlässlich, die Daten Ihres Unternehmens zu überwachen und vor fortschrittlichen Cyber-Bedrohungen zu schützen. Dies wird aufgrund zu vieler Tools, Mangel an Sicherheitskenntnissen und Alarmmüdigkeit immer komplizierter. Moderne SIEM-Lösungen von heute ermöglichen es Ihrem Unternehmen, im Falle einer Bedrohung oder eines Datenlecks schnell und präzise zu reagieren.
Eine moderne SIEM-Lösung bietet Verwaltung, Integration, Korrelation und Analyse an einem Ort und erleichtert die Überwachung und Fehlerbehebung Ihrer IT-Infrastruktur in Echtzeit über eine einzige Schnittstelle. Für Ihre Verwendung haben wir eine breite Palette von Anwendungsfällen mit zugehörigen Logpoint-Beispielen erstellt, um Ihnen bei der besseren Planung Ihrer Verteidigungsstrategie zu helfen.
Operative und richtlinienbezogene Insights
Jede Verzögerung in Ihren IT-Sicherheitsabläufen kann erhebliche Auswirkungen auf Ihre Leistung und Ihren Ruf haben, sowie Ihrer Konkurrenz die Möglichkeit geben, Ihren Marktanteil zu übernehmen. Die Überwachung der Anwendungsleistung und der Asset-Integrität sowie eine schnelle Fehlerbehebung sind unerlässlich, um Ihr Unternehmen optimal betreiben zu können. Informationsanalyse und Automatisierungstechnologien verbessern nachweislich die Produktivität und senken die Kosten, indem sie den Mitarbeitern helfen, mit weniger Aufwand mehr zu erreichen.
Datennutzung
Dies kann sowohl für die eingehende als auch für die ausgehende Datennutzung angewendet werden. Die Überwachung der Datennutzung ist einer der grundlegenden Ansätze, um einen Einblick zu erhalten, wie das Netzwerk arbeitet und auf die externe Datenkommunikation reagiert. Jedes auffällige Verhalten, das von der Nutzungsüberwachung angezeigt wird, kann auf eine mögliche Überlastung, einen Ausfall oder eine verdächtige Aktivität hindeuten. Das folgende Diagramm zeigt die gesamte Datennutzung, die ausgehende Datennutzung und die eingehende Datennutzung in MB an.
Example: Gesamte ausgehende Datennutzung
Log sources: Firewall
Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* |
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB,
sum((received_datasize)/1000/1000) as ReceivedMB
Nutzung des Druckers
Die Nutzung der Druckerdienste kann mit der Verwendung von LogPoint reguliert werden, um die Druckaktivitäten im Blick zu behalten. Das folgende Diagramm zeigt den zeitlichen Verlauf der Druckaktivitäten pro Stunde zusammen mit der Anzahl der Versuche. Zusätzlich wird auch das Verhältnis der pro Versuch gedruckten Dokumente erklärt.
Example: Nutzung des Druckerdienstes
Log sources: Windows Printer
Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour
Benutzer mit veralteten Passwörtern
Organisationen setzen Kennwortrichtlinien durch, die das Zurücksetzen des Kennworts nach einer Anzahl von X Tagen vorschreiben. Diese Zeitspanne kann je nach Bedarf und Sicherheitsanforderungen der Organisation variieren. In vielen Fällen scheinen Organisationen jedoch die Richtlinien aus verschiedenen Gründen nicht durchzusetzen.
Daher ist es wichtig, zu überwachen, ob es in einer Organisation veraltete Passwörter gibt. Um dies zu erreichen, verwendet LogPoint LDAP-Einträge von Ihren Verzeichnisservern oder Domain Controllern. LogPoint-Abfragen mit leistungsstarken mathematischen Funktionen können verwendet werden, um das Attribut des zuletzt gewählten Kennworts zu analysieren und die genaue Anzahl der Tage zu ermitteln, seitdem das Kennwort das letzte Mal zurückgesetzt wurde.
Ein Beispiel: Die folgende Abfrage verwendet eine LDAP-Tabelle, um nach Passwörtern zu suchen, die älter als 365 Tage sind.
Example: Benutzer mit veralteten Passwörten
Log sources: LDAP
Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365
Benutzer, die sich von mehreren Quellen aus verbinden
Example: Potenzielle gemeinsame Benutzerkonten
Log sources: Windows Server, Other authentication sources
Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1