Erkennung von Bedrohungen, Malware und Schwachstellen

Fortgeschrittene Cyber-Bedrohungen sind hochentwickelte und oft gezielte Cyber-Sicherheitsbedrohungen, die sich auf eine bestimmte Branche, einen Sektor oder ein geografisches Gebiet und manchmal sogar auf einzelne Organisationen konzentrieren. Standardmäßige Anti-Malware-Kontrollen und Endpunktlösungen sind oft nicht in der Lage, diese Angriffe zu blockieren oder zu verhindern, da die Erkennung von komplexer Malware und anderen hoch-spezialisierten Cyber-Bedrohungen ein leistungsstarkes Tool wie SIEM in Kombination mit Threat Intelligence und Verhaltensanalysen erfordert. Man muss bedenken, dass Cyberkriminelle nur eine einzige Schwachstelle finden müssen, um einen Angriff durchzuführen. Daher ist es wichtig, proaktiv zu sein, um Datenlecks erfolgreich zu verhindern.

Identifizierung von Bedrohungsindikatoren bei großen Protokollmengen

Analysten können Abfragen mit generischen Befehlen für Threat Intelligence verwenden, um nur kritische Bedrohungsindikatoren herauszufiltern. In LogPoint kann die Filterung generisch sein und alle Übereinstimmungen mit der Threat-Intelligence-Datenbank liefern oder auf einer bestimmten Bedrohungskategorie oder Bedrohungsbewertung basieren. Mit diesem Ansatz ermöglichen wir Ihren Analysten, den Untersuchungsprozess zu vereinfachen und sich auf die tatsächliche Bedrohung zu konzentrieren.

Beispiel

Bedrohungsindikatoren nach Kategorien

LogPoint SIEM use cases Threat indicators by categories

Log-Quellen: Firewall, Proxy, Threat Intelligence

Query

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Definition der richtigen Cybersecurity-Risiko-Haltung

Basierend auf LogPoints einzigartiger Taxonomie für Bedrohungsindikatoren, können Analysten von den vollautomatischen Reaktions-Mechanismen profitieren, indem sie Abfragen zum numerischen Vergleich nutzen. Außerdem können sie die geografische Verteilung der Angriffsquellen nachvollziehen. Alarmabfragen können definiert werden basierend auf den Scores für Bedrohungsindikatoren, Risikowerten/Funktionen und dem Ursprungsland für jeden dieser Alarme. Auf diese Weise ermöglichen wir Ihrem Sicherheitsteam, besser informiert strategische Entscheidungen zu treffen, die zu einer effektiveren Reaktion auf Vorfälle und deren Behebung führen als je zuvor.

Log-Quellen: Firewall, Proxy, Threat Intelligence, Dynamic List

Historische Analyse

In LogPoint Threat Intelligence wird das Risiko immer durch eine Reihe von angereicherten Schlüsselwort-Wert-Paaren wie Kategorie und Risikowert erklärt. Diese Schlüsselwort-Wert-Paare werden dann indiziert und auf den Festplatten gespeichert, bis sie aufgrund der Aufbewahrungsrichtlinie gelöscht werden. Bedrohungsquellen können nicht immer in annähernder Echtzeit erkannt werden, was dazu führt, dass schwerwiegende Angriffe unentdeckt bleiben. Um solche Szenarien zu vermeiden, ermöglicht die dynamische Anreicherung in LogPoint den Analysten eine nachträgliche Untersuchung von Angriffen und die Aufdeckung von schwer zu erkennenden Indikatoren.

Derselbe Ansatz kann mit einer dynamischen Liste verfolgt werden, bei der Analysten eine dynamische Liste für besonders riskante IOCs erstellen und die Liste bei jeder neuen Übereinstimmung mit einem Bedrohungsindikator aus der Threat-Intelligence-Datenbank aktualisieren können. Auf diese Weise kann die dynamische Liste als Blacklist von IOCs verwendet und mit historischen Protokollen abgeglichen werden, um festzustellen, ob in der Vergangenheit etwas von der Threat Intelligence übersehen wurde.

Beispiele

Kritische Bedrohungsentitäten, die an eine dynamische Liste angehängt werden

LogPoint SIEM use cases Critical threat entities appended to dynamic list

Log-Quellen: Firewall, Proxy, Dynamic List

Query

ip_address=* score>90 | process toList(IOCS,ip_address)

Entitäten, die in der Liste der Bedrohungsindikatoren beobachtet werden

LogPoint SIEM use cases Entities observed in list of threat indicators

Log-Quellen: Firewall, Proxy, Dynamic List

Query

source_address IN IOCS | chart count() by source_address order by count() desc

Erweiterte Analytik-Korrelation und Mustererkennung

Standardmäßig kann LogPoint eine erweiterte Korrelation einer beliebigen Anzahl von Datenquellen durchführen – intern, extern oder strukturiert. Egal, ob es sich um etwas einfaches wie die Aggregation zwischen zwei oder mehr Gruppen von Entitäten handelt (z. B. Benutzer und Quelladresse für fehlgeschlagene Anmeldungen) oder um die Kombination von Datensätzen in mehreren Protokollnachrichten über mehrere Datenquellen hinweg mit Hilfe von Join — wir liefern Ihnen Echtzeitwarnungen zu riskantem Verhalten und anomalen Aktivitäten.

In LogPoint können auch dynamische Listen verwendet werden, um erweiterte Korrelationen durchzuführen, wie z. B. die Erstellung einer dynamischen Liste mit IP-Adressen oder Hostnamen für gefährdete Arbeitsstationen, um eine mögliche Ausnutzung einer Schwachstelle durch eine Bedrohungsquelle zu identifizieren. Eine effektive Protokoll-Analyse erfordert die Extraktion von verborgenen Informationen durch eine leistungsstarke Kombination mehrerer Datenanalysefunktionen. Wir setzen Agenten auf ERP, in Datenbanken und HR-Systemen ein, um Daten aus allen Bereichen Ihres Netzwerks sowie von Sicherheitsgeräten, Servern und Anwendungen zu sammeln. Die Analyse wird dann durch unsere leistungsstarke integrierte Abfragesprache, Threat Intelligence, Anreicherung und andere fortschrittliche mathematische Funktionen und Prozessbefehle unterstützt.

Beispiel

Nicht abgelaufene Sitzungsdauer

LogPoint SIEM use cases Unexpired session durations

Log-Quellen: Windows Server, any other source

Query

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Überwachung der Passwortalterung

Es ist wichtig, zu überwachen, ob es in einer Organisation alternde Passwörter gibt. Um dies zu durchzuführen, verwendet LogPoint LDAP-Einträge von Ihren Verzeichnisservern oder Domain Controllern. Mit Hilfe von LogPoint-Abfragen, die über leistungsstarke mathematische Funktionen verfügen, kann das zuletzt verwendete Attribut des Kennworts analysiert werden, um die genaue Anzahl der Tage zu ermitteln, seitdem das Kennwort zuletzt zurückgesetzt wurde. Ein Beispiel: Die folgende Abfrage verwendet eine LDAP-Tabelle, um nach Passwörtern zu suchen, die älter als 365 Tage sind.

Beispiel

Benutzer mit alternden Passwörtern

LogPoint SIEM use cases Password ageing users

Log sources: LDAP

Query

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Erkennen von Brute-Force-Angriffsversuchen

Da jedes System mit einer Anzahl von X Fehlversuchen vor einer erfolgreichen Anmeldung auf einen möglichen Brute-Force-Versuch hinweist, ist die Überprüfung auf fehlgeschlagene Anmeldungen von größter Bedeutung. In LogPoint können Sie die folgende Abfrage als einfaches Mittel verwenden, um auf 100 Fehlversuche vor einer erfolgreichen Anmeldung zu prüfen.

Beispiel

Potenzielle Brute-Force-Angriffsversuche

LogPoint SIEM use cases Potential brute-force attack attempts

Log-Quellen: Windows Server, Authentication sources

Query

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc

LogPoint kann DoS-Angriffe direkt durch die Integration eines Intrusion Detection Systems erkennen, um dann Warnungen zu erstellen und Vorfälle auf Basis der eingelesenen Log-Daten des externen Systems zu generieren. Darüber hinaus kann LogPoint auch eine Zunahme der verdächtig ausgeführten Aufgaben oder eine Zunahme des Log-Volumens innerhalb eines bestimmten Zeitrahmens erkennen, was auf einen sich anbahnenden DoS-Angriff hinweist.

Log-Quellen: Endpunkt Sicherheit