Le Top 10 des cas d’usage SIEM

Avec la demande croissante de solutions SIEM, les entreprises souhaitent avoir à portée de main les réponses à un certain nombre de problèmes de sécurité qui surgissent au cours de leurs opérations quotidiennes.

Voici les 10 principaux cas d’utilisation et de comportements que le SIEM LogPoint peut détecter dans votre infrastructure.

Si vous souhaitez davantage d’information concernant l’un de ces cas ou si vous recensez un cas que vous jugez pertinent, n’hésitez pas à nous contacter.

01 Activités d’authentification

Activités d’authentification avec un facteur de risque supplémentaire, telles que les connexions à des systèmes critiques et les tentatives de connexion échouées au-delà d’un seuil défini.

Top 10 Successful Logins LogPoint SIEM Dashboard

Connexions réussies

norm_id=* label=User label=Login label=Successful -user=*$ host IN CRITICAL_SYSTEM | chart count() by host, user order by count() desc limit 10

Top 10 Successful Logins LogPoint SIEM Dashboard
Failed Logins Above Threshold LogPoint Dashboard

Échecs de connexion dépassant un seuil

norm_id=* label=User label=Login label=Fail -user=*$ user=* | chart count() as "Count" by user order by "Count" desc limit 10 | search "Count">50

02 Gestion des comptes

Monitoring de la création, de la suppression et d’autres événements relatifs aux comptes d’utilisateurs afin de superviser les privilèges d’accès aux ressources et aux systèmes.

LogPoint SIEM Dashboard User Account Creation

Création d’un compte utilisateur

norm_id=WinServer* label=User label=Account label=Management label=Create -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM Dashboard User Account Creation
User Account Deletion LogPoint Dashboard

Suppression d’un compte utilisateur

norm_id=WinServer* label=User label=Account label=Management (label=Delete OR label=Remove) -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

User Account Enabled LogPoint Dashboard

Compte utilisateur approuvé

norm_id=WinServer* label=User label=Account label=Management label=Enable -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

User Account Enabled LogPoint Dashboard

03 Activités de connexion

Monitoring des activités de connexion pour fournir une vue d’ensemble des connexions réseau par statut, origine et fonction. Cela définit si les connexions sont autorisées/refusées, le nom de l’hôte, le nom du pays de la source, la destination et la fonction.

Top 10 Allowed Inbound Connection by Location LogPoint Dashboard

Connexions entrantes autorisées par localisation.

label=Connection label=Allow -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

Top 10 Allowed Outbound Connection by Location LogPoint Dashboard

Connexion sortante autorisée par localisation.

label=Connection label=Allow source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

Top 10 Allowed Outbound Connection by Location LogPoint Dashboard
Top 10 Denied Inbound Connection by Location LogPoint Dashboard

Connexions entrantes refusées par localisation.

label=Connection label=Deny -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

Top 10 Denied Outbound Connection by Location LogPoint Dashboard

Connexions sortantes refusées par localisation

label=Connection label=Deny source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

Top 10 Denied Outbound Connection by Location LogPoint Dashboard
Top 10 Internal Denied Internal Connection by IP LogPoint Dashboard

Connexions internes refusées par IP/nom d’hôte

norm_id=* label=Connection label=Deny source_address=* destination_address=* source_address in HOMENET destination_address in HOMENET | chart count() by source_address, destination_address order by count() desc limit 10

04 Activités liées à la politique

Monitoring et détection des changements de politique tels que l’audit, l’authentification, l’autorisation, le filtrage et bien d’autres.

Password Ageing by User LogPoint Dashboard

Durée totale du mot de passe par utilisateur

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>30

Password Ageing by User LogPoint Dashboard
Users Authentication from Multiple Sources LogPoint Dashboard

Authentification des utilisateurs à partir de plusieurs sources

norm_id=* label=User (label=Login OR label=Authenctication) source_address=* -user=*$ user=* | chart distinct_count(source_address) as UniqueSource by user order by UniqueSource desc limit 10 | search UniqueSource>1

05 Détection des menaces, des malwares et des vulnérabilités

Activités liées aux menaces, telles que les indicateurs de compromission, les infections par des malwares et la détection des systèmes vulnérables.

LogPoint Identification of Threat Actors dashboard

Identification des indicateurs de menace

norm_id=* source_address=* -source_address in HOMENET | process ti(source_address) | rename et_category as category,cs_category as category, et_score as score,cs_score as score| chart count() by source_address, category, score order by score desc limit 10

LogPoint Identification of Threat Actors dashboard
LogPoint SIEM Dashboard Identification of Vulnerable Sources

Identification des sources vulnérables

(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) severity=4 or severity=5 source_address=* | rename title as vulnerability |chart count() by source_address, vulnerability order by count() desc

Failed Malware Cleaning LogPoint Dashboard

Échec de la suppression des malwares

norm_id=* label=Malware label=Clean label=Fail malware=* | chart count() by host, malware order by count() desc limit 10

Failed Malware Cleaning LogPoint Dashboard

06 Renseignements opérationnels

Actions liées au monitoring des activités opérationnelles quotidiennes, telles que l’utilisation des données entrantes et sortantes ou l’utilisation des données par des applications spécifiques.

LogPoint SIEM use cases Inbound Data Usage

Utilisation des données entrantes 

norm_id=* source_address=* -source_address in HOMENET destination_address IN HOMENET received_datasize=* -source_address=176.161*| timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum(received_datasize/1000/1000) as ReceivedMB

Outbound Data Usage LogPoint Dashboard

Utilisation des données sortantes

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

Outbound Data Usage LogPoint Dashboard
Data Usage by Application LogPoint Dashboard

Utilisation des données par application

norm_id=* (label=Connection OR label=Traffic) application=* sent_datasize=* received_datasize=* | chart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB by application order by TotalMB desc

07 Comportement anormal

Profils basés sur les entités utilisant des techniques de Machine Learning pour identifier les comportements malveillants tels que la manipulation de données, les hôtes infectés ou l’utilisation suspecte de comptes.

Lateral Movement LogPoint Dashboard

Mouvements latéraux et exfiltration de données

Avec LogPoint UEBA, les mouvements latéraux peuvent être facilement détectés, ce qui vous permet de limiter les mouvements non autorisés dans votre environnement. Recevez des alertes en temps réel sur les transferts de données non autorisés au sein de votre réseau, que le transfert soit manuel ou automatisé.

Lateral Movement LogPoint Dashboard

08 Alerte et réponse aux incidents

Toute situation potentiellement suspecte déclenche une alarme et déclenche alors le processus de gestion des incidents.

LogPoint SIEM Dashboard Facilitate Incident Response Mechanism

Faciliter le mécanisme de réponse aux incidents

Les fonctions de réponse aux incidents de LogPoint fournissent des workflows automatisés pour l’enrichissement des données de l’entreprise, la Threat Intelligence et la corrélation des logs avec les données du réseau afin de rassembler des preuves, de remédier et de répondre efficacement aux incidents.

09 Conformité, réglementation et audit

Conformité aux réglementations et exigences d’audit telles que ISO27001, GDPR, PCI DSS, HIPAA et bien d’autres.

File Integrity Monitoring for PCI DSS LogPoint Dashboard

File Integrity Monitoring

norm_id=IntegrityScanner label=Change (label=File or label=Registry) | rename registry as object, file as object | chart count() by log_ts, host, action, object, prev_hash, hash order by count() desc limit 10

File Integrity Monitoring for PCI DSS LogPoint Dashboard

10 Corrélation et enrichissement avancés

Join et followed by queries sont étendus par des opérations mathématiques et des agrégations pour des analyses avancées basées sur la corrélation.

Correlation Between Multiple Data Sources LogPoint Dashboard

Corrélation entre plusieurs sources de données

[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent | chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

LogPoint SIEM use cases Potential Brute Force Attempt

Tentative potentielle de brute force

10 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc

LogPoint SIEM use cases Potential Brute Force Attempt
Incomplete Sessions LogPoint Dashboard

Sessions inachevées

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | fields log_ts, user

Average Session Duration of Completed Sessions LogPoint Dashboard

Durée moyenne des sessions achevées

[ label=Login label=Successful] as s1 join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | rename s1.user as user | chart avg(s2.log_ts-s1.log_ts) as duration by user order by duration desc

Average Session Duration of Completed Sessions LogPoint Dashboard
Incomplete Session Duration LogPoint Dashboard

Durée de la session inachevée.

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc