Démonstration de la chasse aux cybermenaces

Avec le besoin croissant en matière de solutions Modern SIEM de plus en plus intelligentes, les entreprises exigent désormais des réponses concrètes et à portée de main concernant un certain nombre de défis commerciaux et de sécurité. Les capacités de chasser les menaces proposées par LogPoint, notamment l’analyse avancée, l’enrichissement, les corrélations, l’UEBA et les rapports, vous permettront de renforcer votre posture de sécurité globale avec l’utilisation d’une interface unique.

L’intégration de réponses aux incidents de LogPoint fournit des flux de travail automatisés pour l’enrichissement du contexte commercial, les renseignements sur les menaces et la corrélation des données de logs avec les données du réseau. En fonction du flux de travail de votre entreprise, votre équipe de sécurité sera en mesure de collecter efficacement des preuves, consolider les différents éléments constitutifs de l’incident afin d’y remédier.

Mise en perspective

Exemple

Infections de fichiers détectées

LogPoint SIEM use cases File infections detected
Requête

label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

Explorez la première ligne et identifiez le checksum.

LogPoint SIEM use cases Identifying Checksum

Utilisez le checksum pour revenir à Virus Total.

LogPoint SIEM use cases Virus Total

Conclusion

Tirez la sonnette d’alarme et poursuivez vos investigations afin d’identifier les différents dommages causés par l’infection.

Déclenchez l’alarme

Créez un incident pour le suivi.

LogPoint SIEM use cases Raise flag
LogPoint use cases Raise Flag
LogPoint SIEM use cases Raise flag

Investigation

Appliquez le hachage identifié comme filtre.

LogPoint SIEM use cases Identified Hash as Filter

Choisissez chaque utilisateur associé aux emails des destinataires.

L’utilisateur Rita montre des tentatives de connexion qui ont échoué au niveau de différents serveurs.

LogPoint SIEM use cases User Multiple Failed Logins

Allez à la page de recherche pour voir les détails.

Exemple

Échec de la tentative de connexion pour un utilisateur spécifique

LogPoint SIEM use cases Failed login attempt for specific user
Requête

label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

Choisissez l’une des adresses IP source utilisées par l’utilisateur Rita pour vérifier s’il existe d’autres tentatives ayant échoué ou non.

Nous observons qu’avec la source 192.168.2.101, 4 tentatives ont échoué à partir de la même source.

Exemple

Échec de la tentative de connexion pour une source spécifique

LogPoint SIEM Threat Hunting use cases Failed login attempt for specific source

Accédez à cet événement.

Nous observons qu’un compte désactivé tente de se connecter au contrôleur de domaine, le code de sous-état 0xC0000072 fait référence en fait à l’échec de la connexion au niveau du compte désactivé.

LogPoint SIEM use cases Failed login attempt on multiple filters by failure sub status

Maintenant, nous revenons au modèle de recherche pour vérifier les IOC associés à la source 192.168.2.101.

LogPoint SIEM use cases IOCs associated with source

Nous explorons la catégorie «Malware Command And Control» pour vérifier les autres adresses source qui lui sont associées.

Example

Threat indicators for malware command and control

LogPoint SIEM use cases Threat Hunting for malware command and control
Requête

category="Malware Command And Control" | chart count() by source_address

Remediation / Rapport

Lors du processus d’investigation sur les menaces, nous avons identifié que l’utilisateur Rita a été compromis et doit être désactivé. L’utilisateur Rob, quant à lui, doit être supprimé s’il n’est pas prévu qu’il soit activé à l’avenir.

Menez des investigations supplémentaires sur l’incident pour valider s’il y a eu par le passé des activités liées aux indicateurs de menace identifiés.

Exemple

Indicateurs de menace pour la catégorie ‘Malware Command And Control’ ajoutés à la liste.

LogPoint SIEM use cases Threat indicators for malware command and control appended to list
Requête

category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

Recherchez des événements dans l’historique concernant toutes les activités associées aux adresses IP dans la liste ACTIVE_IOCS.

Les systèmes infectés doivent être nettoyés et la règle de pare-feu doit être mise à jour pour bloquer les connexions aux «serveurs Command And Control».

Exemple

Entités observées dans la liste des indicateurs de menace.

LogPoint SIEM use cases Entities observed in list of threat indicators
Requête

source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS