Top-Anwendungsfälle
für Sicherheit
Operationen

Top Use Cases

In der heutigen globalisierten, digitalen Wirtschaft ist es unerlässlich, die Daten Ihres Unternehmens zu überwachen und vor fortschrittlichen Cyber-Bedrohungen zu schützen. Dies wird aufgrund zu vieler Tools, Mangel an Sicherheitskenntnissen und Alarmmüdigkeit immer komplizierter. Moderne SIEM-Lösungen von heute ermöglichen es Ihrem Unternehmen, im Falle einer Bedrohung oder eines Datenlecks schnell und präzise zu reagieren.

Eine moderne SIEM-Lösung bietet Verwaltung, Integration, Korrelation und Analyse an einem Ort und erleichtert die Überwachung und Fehlerbehebung Ihrer IT-Infrastruktur in Echtzeit über eine einzige Schnittstelle. Für Ihre Verwendung haben wir eine breite Palette von Anwendungsfällen mit zugehörigen Logpoint-Beispielen erstellt, um Ihnen bei der besseren Planung Ihrer Verteidigungsstrategie zu helfen.

Operative und richtlinienbezogene Insights

Jede Verzögerung in Ihren IT-Sicherheitsabläufen kann erhebliche Auswirkungen auf Ihre Leistung und Ihren Ruf haben, sowie Ihrer Konkurrenz die Möglichkeit geben, Ihren Marktanteil zu übernehmen. Die Überwachung der Anwendungsleistung und der Asset-Integrität sowie eine schnelle Fehlerbehebung sind unerlässlich, um Ihr Unternehmen optimal betreiben zu können. Informationsanalyse und Automatisierungstechnologien verbessern nachweislich die Produktivität und senken die Kosten, indem sie den Mitarbeitern helfen, mit weniger Aufwand mehr zu erreichen.

Datennutzung

Dies kann sowohl für die eingehende als auch für die ausgehende Datennutzung angewendet werden. Die Überwachung der Datennutzung ist einer der grundlegenden Ansätze, um einen Einblick zu erhalten, wie das Netzwerk arbeitet und auf die externe Datenkommunikation reagiert. Jedes auffällige Verhalten, das von der Nutzungsüberwachung angezeigt wird, kann auf eine mögliche Überlastung, einen Ausfall oder eine verdächtige Aktivität hindeuten. Das folgende Diagramm zeigt die gesamte Datennutzung, die ausgehende Datennutzung und die eingehende Datennutzung in MB an.

Example: Gesamte ausgehende Datennutzung

LogPoint SIEM use cases: Overall outbound data usage

Log sources: Firewall

Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | 
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, 
sum((received_datasize)/1000/1000) as ReceivedMB

Nutzung des Druckers

Die Nutzung der Druckerdienste kann mit der Verwendung von LogPoint reguliert werden, um die Druckaktivitäten im Blick zu behalten. Das folgende Diagramm zeigt den zeitlichen Verlauf der Druckaktivitäten pro Stunde zusammen mit der Anzahl der Versuche. Zusätzlich wird auch das Verhältnis der pro Versuch gedruckten Dokumente erklärt.

Example: Nutzung des Druckerdienstes

LogPoint SIEM use cases: Usage of printer

Log sources: Windows Printer

Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Benutzer mit veralteten Passwörtern

Organisationen setzen Kennwortrichtlinien durch, die das Zurücksetzen des Kennworts nach einer Anzahl von X Tagen vorschreiben. Diese Zeitspanne kann je nach Bedarf und Sicherheitsanforderungen der Organisation variieren. In vielen Fällen scheinen Organisationen jedoch die Richtlinien aus verschiedenen Gründen nicht durchzusetzen.

Daher ist es wichtig, zu überwachen, ob es in einer Organisation veraltete Passwörter gibt. Um dies zu erreichen, verwendet LogPoint LDAP-Einträge von Ihren Verzeichnisservern oder Domain Controllern. LogPoint-Abfragen mit leistungsstarken mathematischen Funktionen können verwendet werden, um das Attribut des zuletzt gewählten Kennworts zu analysieren und die genaue Anzahl der Tage zu ermitteln, seitdem das Kennwort das letzte Mal zurückgesetzt wurde.

Ein Beispiel: Die folgende Abfrage verwendet eine LDAP-Tabelle, um nach Passwörtern zu suchen, die älter als 365 Tage sind.

Example: Benutzer mit veralteten Passwörten

LogPoint SIEM use cases: Password ageing users

Log sources: LDAP

Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Benutzer, die sich von mehreren Quellen aus verbinden

Example: Potenzielle gemeinsame Benutzerkonten

LogPoint SIEM use cases: Potential shared user accounts

Log sources: Windows Server, Other authentication sources

Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1