Operative und richtlinienbezogene Insights

Jede Verzögerung in Ihren IT-Sicherheitsabläufen kann erhebliche Auswirkungen auf Ihre Leistung und Ihren Ruf haben, sowie Ihrer Konkurrenz die Möglichkeit geben, Ihren Marktanteil zu übernehmen. Die Überwachung der Anwendungsleistung und der Asset-Integrität sowie eine schnelle Fehlerbehebung sind unerlässlich, um Ihr Unternehmen optimal betreiben zu können. Informationsanalyse und Automatisierungstechnologien verbessern nachweislich die Produktivität und senken die Kosten, indem sie den Mitarbeitern helfen, mit weniger Aufwand mehr zu erreichen.

Datennutzung

Dies kann sowohl für die eingehende als auch für die ausgehende Datennutzung angewendet werden. Die Überwachung der Datennutzung ist einer der grundlegenden Ansätze, um einen Einblick zu erhalten, wie das Netzwerk arbeitet und auf die externe Datenkommunikation reagiert. Jedes auffällige Verhalten, das von der Nutzungsüberwachung angezeigt wird, kann auf eine mögliche Überlastung, einen Ausfall oder eine verdächtige Aktivität hindeuten. Das folgende Diagramm zeigt die gesamte Datennutzung, die ausgehende Datennutzung und die eingehende Datennutzung in MB an.

Beispiel

Gesamte ausgehende Datennutzung

LogPoint Outbound Data Usage Dashboard

Log-Quellen: Firewall

Query

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

Nutzung des Druckers

Die Nutzung der Druckerdienste kann mit der Verwendung von LogPoint reguliert werden, um die Druckaktivitäten im Blick zu behalten. Das folgende Diagramm zeigt den zeitlichen Verlauf der Druckaktivitäten pro Stunde zusammen mit der Anzahl der Versuche. Zusätzlich wird auch das Verhältnis der pro Versuch gedruckten Dokumente erklärt.

Beispiel

Nutzung des Druckerdienstes

LogPoint SIEM use cases Usage of printer

Log-Quellen: Windows Printer

Query

label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Benutzer mit veralteten Passwörtern

Organisationen setzen Kennwortrichtlinien durch, die das Zurücksetzen des Kennworts nach einer Anzahl von X Tagen vorschreiben. Diese Zeitspanne kann je nach Bedarf und Sicherheitsanforderungen der Organisation variieren. In vielen Fällen scheinen Organisationen jedoch die Richtlinien aus verschiedenen Gründen nicht durchzusetzen.

Daher ist es wichtig, zu überwachen, ob es in einer Organisation veraltete Passwörter gibt. Um dies zu erreichen, verwendet LogPoint LDAP-Einträge von Ihren Verzeichnisservern oder Domain Controllern. LogPoint-Abfragen mit leistungsstarken mathematischen Funktionen können verwendet werden, um das Attribut des zuletzt gewählten Kennworts zu analysieren und die genaue Anzahl der Tage zu ermitteln, seitdem das Kennwort das letzte Mal zurückgesetzt wurde.

Ein Beispiel: Die folgende Abfrage verwendet eine LDAP-Tabelle, um nach Passwörtern zu suchen, die älter als 365 Tage sind.

Beispiel

Benutzer mit veralteten Passwörten

LogPoint SIEM use cases Password ageing users

Log-Quellen: LDAP

Query

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Benutzer, die sich von mehreren Quellen aus verbinden

Beispiel

Potenzielle gemeinsame Benutzerkonten

LogPoint SIEM use cases Potential shared user accounts

Log-Quellen: Windows Server, Other authentication sources

Query

label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1