//Top 10 des cas d’usage SIEM

Le Top 10 des cas d’usage SIEM

Avec la demande croissante de solutions SIEM, les entreprises souhaitent avoir à portée de main les réponses à un certain nombre de problèmes de sécurité qui surgissent au cours de leurs opérations quotidiennes.

Voici les 10 principaux cas d’utilisation et de comportements que le SIEM LogPoint peut détecter dans votre infrastructure.

Si vous souhaitez davantage d’information concernant l’un de ces cas ou si vous recensez un cas que vous jugez pertinent, n’hésitez pas à nous contacter.

Authentication-activities

Activités d’authentification

Tentatives d’authentification anormales, tentatives d’authentification aux heures non ouvrées, en utilisant des données provenant de Windows, Unix ou toute autre application d’authentification.

shared-accounts

Comptes partagés

Requêtes de session provenant de sources multiples (internes/externes) pour un même compte utilisateur, durant un temps donné, en utilisant des données de login issues de source comme Windows, Unix.

Session-activities

Activités de sessions

Durée de session, sessions inactives, en utilisant les données de “login” de session provenant spécifiquement de serveur Windows.

connection-details

Détails de connexion

Comportement suspect incluant les tentatives de connexion sur des ports fermés, les connexions internes bloquées, les connexions faites vers des destinations erronées, etc, en utilisant des données provenant des firewalls, des appareils réseau ou des données de flux. Les sources externes peuvent également être étoffées pour découvrir le nom de domaine, le pays ou autres détails géographiques.

Abnormal-Administrative-Behavior

Comportement d’administration anormal

Supervision des comptes inactifs, des comptes avec mots de passe inchangés, activités inhabituelles de compte de management, en utilisant des données d’activités de compte AD de management.

Information-Theft-

Vol d’information

Tentative d’exfiltration de données, fuite d’informations par emails, en utilisant des données issues de serveurs mails, d’applications de partage de fichiers.

Vulnerability-Scanning-and-Correlation

Scan de vulnérabilités et corrélation

Identification et corrélation des vulnérabilités de sécurité détectées par des applications avec d’autres évènements suspects.

Statistical-Analysis

Analyse statistique

Les données numériques de sources diverses peuvent servir à établir des relations de type ratio de bande passante entrante/sortante, utilisation des données par application, comparaison, etc.

Intrusion-Detection-and-Infections

Détection d’intrusions et infections

Sont établies en utilisant les données des IDS/IPS, antivirus, applications anti-malware, etc.

System-Change-Activities-

Modifications système

Effectuées en utilisant les données de changement de configuration, les changements de règles, les violations de règles, etc.