Top-Anwendungsfälle
für Sicherheit
Operationen

Top Use Cases

In der heutigen globalisierten, digitalen Wirtschaft ist es unerlässlich, die Daten Ihres Unternehmens zu überwachen und vor fortschrittlichen Cyber-Bedrohungen zu schützen. Dies wird aufgrund zu vieler Tools, Mangel an Sicherheitskenntnissen und Alarmmüdigkeit immer komplizierter. Moderne SIEM-Lösungen von heute ermöglichen es Ihrem Unternehmen, im Falle einer Bedrohung oder eines Datenlecks schnell und präzise zu reagieren.

Eine moderne SIEM-Lösung bietet Verwaltung, Integration, Korrelation und Analyse an einem Ort und erleichtert die Überwachung und Fehlerbehebung Ihrer IT-Infrastruktur in Echtzeit über eine einzige Schnittstelle. Für Ihre Verwendung haben wir eine breite Palette von Anwendungsfällen mit zugehörigen Logpoint-Beispielen erstellt, um Ihnen bei der besseren Planung Ihrer Verteidigungsstrategie zu helfen.

Threat Hunting Demonstration

Angesichts des wachsenden Bedarfs an immer intelligenteren modernen SIEM-Lösungen verlangen Unternehmen jetzt umsetzbare Antworten auf eine Vielzahl von Sicherheits- und Geschäftsherausforderungen, die ihnen direkt zur Verfügung gestellt werden. Die Threat Hunting-Funktionen von LogPoint, einschließlich fortschrittlicher Analysen, Anreicherung, Korrelationen, UEBA und Berichterstellung, ermöglichen es Ihnen, Ihre gesamte Sicherheitslage mit Hilfe einer einzigen Schnittstelle zu stärken.

Die Incident-Response-Integrationen von LogPoint bieten automatisierte Workflows für die Anreicherung von Geschäftskontext, Threat Intelligence und die Korrelation von Protokolldaten mit Netzwerkdaten. Basierend auf den Arbeitsabläufen Ihres Unternehmens wird es Ihrem Sicherheitsteam ermöglicht, effizient Beweise zu sammeln, den Fall zu untersuchen und anschließend zu beheben.

Hintergrundwissen erläutern

Example: Erkannte Dateiinfektionen

LogPoint SIEM use cases: File infections detected
Query
label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

Die erste Zeile genau überprüfen für die Identifizierung der Prüfsumme.

LogPoint SIEM use cases: Identifying Checksum

Prüfsumme verwenden, um „Virus Total“ zu untersuchen.

LogPoint SIEM use cases: Virus Total

Schlussfolgerung

Benutzten Sie die „Warnflagge“ und führen Sie weitere Untersuchungen durch, um die Auswirkungen der Infektion zu ermitteln.

Flagge heben

Erstellen Sie einen Vorfall zur Weiterverfolgung.

LogPoint SIEM use cases: Raise Flag
LogPoint SIEM use cases: Raise Flag
LogPoint SIEM use cases: Entities observed in list of threat indicators

Untersuchung

Wenden Sie den identifizierten Hash als Filter an.

LogPoint SIEM use cases: Identified Hash as Filter

Wählen Sie jeden Benutzer aus, der mit den Empfänger-E-Mails verbunden ist.

Benutzer Rita zeigt fehlgeschlagene Anmeldeversuche an verschiedenen Servern.

LogPoint SIEM use cases: User Multiple Failed Logins

Gehen Sie auf die Suchseite, um die Details zu sehen.

Example: Fehlgeschlagene Anmeldeversuche für einen bestimmten Benutzer

LogPoint SIEM use cases: Failed login attempt for specific user
Query
label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

Wählen Sie eine der vom Benutzer Rita verwendeten Quell-IPs aus, um zu prüfen, ob es weitere Fehlversuche gibt oder nicht.

Wir stellen fest, dass es bei der Quelle 192.168.2.101 vier Fehlversuche von derselben Quelle gibt.

Example: Fehlgeschlagene Anmeldeversuche für eine bestimmte Quelle

LogPoint SIEM use cases: Failed login attempt for specific source

Gehen Sie diesem Ereignis auf den Grund.

Wir stellen fest, dass ein deaktiviertes Konto versucht, sich am Domain Controller anzumelden. Der Substatuscode 0xC0000072 bezieht sich tatsächlich auf einen fehlgeschlagenen Anmeldeversuch auf ein deaktiviertes Konto.

LogPoint SIEM Threat Hunting use cases Failed login attempt on multiple filters by failure sub status

Nun gehen wir zurück zur Suchvorlage, um nach IOCs zu suchen, die mit der Quelle 192.168.2.101 verbunden sind.

LogPoint SIEM use cases: IOCs associated with source

Fokussieren auf die Kategorie „Malware Command And Control“, um andere Quelladressen zu überprüfen, die mit ihr verbunden sind.

Example: Bedrohungsindikatoren für „Malware Command and Control“

LogPoint SIEM use cases: Threat indicators for malware command and control
Query
category="Malware Command And Control" | chart count() by source_address

Remediation/Reporting

Während der Bedrohungsuntersuchung stellen wir fest, dass der Benutzer Rita angegriffen wurde und deaktiviert werden sollte.

Führen Sie weitere Untersuchungen des Vorfalls durch, um zu überprüfen, ob es in der Vergangenheit Aktivitäten der identifizierten Bedrohungsindikatoren gab.

Bedrohungsindikatoren für Malware Command and Control an Liste angehängt

LogPoint SIEM use cases: Threat indicators for malware command and control appended to list
Query
category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

Durchsuchen Sie historische Ereignisse nach Aktivitäten, die mit den IPs in der Liste ACTIVE_IOCS verbunden sind.

Die infizierten Systeme sollten gereinigt und die Firewall-Regel aktualisiert werden, um die Verbindungen zu den „Command And Control Servern“ zu blockieren.

Example: In der Liste der Bedrohungsindikatoren beobachtete Entitäten

LogPoint SIEM use cases: Entities observed in list of threat indicators
Query
source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS