Détection des menaces, des malwares et des vulnérabilités

Les cybermenaces avancées sont des menaces de cybersécurité hautement sophistiquées et souvent ciblées, se focalisant sur une certaine industrie, secteur ou zone géographique et parfois même sur des entreprises individuelles. Les contrôles anti-malware et les solutions endpoint classiques ne parviennent pas à bloquer ou à empêcher ces attaques car leur détection nécessite un outil puissant tel qu’un SIEM combiné à une fonctionnalité de renseignements  sur les menaces (Threat Intelligence) associée elle-même à une analyse comportementale. Gardez à l’esprit que les cybercriminels n’ont besoin de trouver qu’une seule vulnérabilité pour lancer leur attaque; par conséquent, être proactif est crucial pour se protéger efficacement contre les fuites de données.

Identification des indicateurs de menace lors de l’utilisation d’importants volumes de logs

Les analystes peuvent utiliser des requêtes avec des commandes génériques pour obtenir des renseignements sur les menaces afin de filtrer uniquement les indicateurs de menace critiques. Avec LogPoint, le filtrage peut être générique, vous donnant ainsi toutes les correspondances au niveau de la base de données de renseignements sur les menaces ou il peut être basé sur certaines catégories de menace ou certains scores attribués aux menaces. Grâce à cette approche, nous permettons à vos analystes de simplifier le processus d’investigation afin que vous puissiez vous concentrer sur la menace réelle.

Exemple

Indicateurs de menace par catégories

LogPoint SIEM use cases Threat indicators by categories

Sources de logs : Firewall, Proxy, Threat Intelligence

Requête

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Adopter la bonne stratégie en matière de risque de cybersécurité

Sur la base de la taxonomie unique de LogPoint concernant les scores des indicateurs de menace, les analystes peuvent bénéficier de mécanismes de réponse aux incidents entièrement automatisés à l’aide de requêtes de comparaison numérique. De plus, ils peuvent comprendre la répartition géographique des sources d’attaque. Les requêtes d’alerte peuvent être définies en fonction des scores de ces indicateurs, des valeurs/fonctions de risque et également en fonction du pays d’origine de chacune de ces alertes. Grâce à cette approche, nous donnons à votre équipe de sécurité les moyens de faire des choix stratégiques mieux informés, permettant ainsi de répondre aux incidents et d’y remédier avec une efficacité inégalée.

Sources de logs : Firewall, Proxy, Threat Intelligence, Dynamic List

Analyse de l’historique

Dans la fonctionnalité de renseignements sur les menaces (Threat Intelligence) de LogPoint, le risque est toujours explicité par un certain nombre de paires de « valeur-clé » enrichies telles que la catégorie et le score du risque. Ces paires de valeur-clé seront ensuite indexées et stockées sur les disques jusqu’à ce qu’elles soient effacées conformément à la politique de conservation. Les sources de menace ne peuvent pas toujours être détectées à 100% en temps réel, pouvant déboucher ainsi sur de très sérieuses attaques qui auront échappé à la détection. Pour éviter de tels scénarios, l’enrichissement dynamique de LogPoint permet aux analystes d’investiguer rétrospectivement les attaques et de découvrir des indicateurs difficiles à repérer.

La même approche peut être adoptée par l’intermédiaire d’une liste dynamique, qui peut être créée par les analystes pour les IOC extrêmement risqués et mise à jour à chaque nouvelle correspondance avec un indicateur de menace au niveau de la base de données Threat Intelligence. De cette façon, cette liste dynamique peut être utilisée comme une liste noire des IOC et vérifiée par rapport à l’historique des logs, afin d’identifier si un élément a été oublié par la fonctionnalité Threat Intelligence par le passé.

Exemples

Entités de menace critique ajoutées à la liste dynamique

LogPoint SIEM use cases Critical threat entities appended to dynamic list

Sources de logs : Firewall, Proxy, Dynamic List

Query

ip_address=* score>90 | process toList(IOCS,ip_address)

Entités observées dans la liste des indicateurs de menace

LogPoint SIEM use cases Entities observed in list of threat indicators

Log sources: Firewall, Proxy, Dynamic List

Requête

source_address IN IOCS | chart count() by source_address order by count() desc

Corrélation analytique avancée et reconnaissance de schémas

Par défaut, LogPoint peut effectuer une corrélation avancée quel que soit le volume de sources de données : internes, externes ou structurées. Qu’il s’agisse d’une tâche aussi simple que la consolidation de deux ou plusieurs groupes d’entités, comme l’utilisateur et l’adresse source concernant les échecs de connexion ou encore de la combinaison d’enregistrements dans plusieurs messages de log au niveau de plusieurs sources de données à l’aide des requêtes de jointure et de suivi, nous vous fournirons des alertes en temps réel concernant les comportements à risque et les activités anormales.

Avec LogPoint, les listes dynamiques peuvent également être utilisées pour effectuer des corrélations avancées de plusieurs façons, telles que la création d’une liste dynamique avec des adresses IP ou des noms d’hôte pour les postes de travail vulnérables afin d’identifier toute exploitation potentielle d’une vulnérabilité par une source de menace. Une analyse efficace des logs nécessite l’extraction d’informations cachées à l’aide d’une puissante combinaison de plusieurs moyens d’analyse de données. Nous employons des agents au niveau des systèmes ERP, des bases de données et des systèmes RH pour collecter des données provenant de l’environnement en contact permanent avec votre réseau et vos équipements de sécurité, serveurs et applications. Des analyses sont ensuite effectuées par notre puissant langage de requête intégré, notre fonctionnalité de renseignements sur les menaces (Threat Intelligence), notre procédé d’enrichissement ainsi que des fonctions mathématiques avancées et des commandes de processus.

Exemple

Durées de session non expirée

LogPoint SIEM use cases Unexpired session durations

Sources de logs : Windows Server, any other source

Requête

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Surveillance des mots de passe vieillissants

Il est important de surveiller s’il existe des mots de passe avec une durée de vie trop importante au sein d’une entreprise. Pour ce faire, LogPoint utilise les entrées LDAP de vos serveurs de répertoires ou contrôleurs de domaine. Les requêtes LogPoint, dotées de puissantes fonctions mathématiques, peuvent être utilisées pour analyser l’attribut concernant la dernière mise à jour du mot de passe afin d’identifier le nombre exact de jours qui se sont écoulés depuis la dernière réinitialisation de celui-ci. Pour donner un exemple, la requête suivante utilise une table LDAP pour rechercher les mots de passe qui n’ont pas été modifiés depuis plus de 365 jours.

Exemple

Les utilisateurs conservant des mots de passe vieillissants

LogPoint SIEM use cases Password ageing users

Sources de logs : LDAP

Requête

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Détecter les tentatives d’attaque par force brute

As any system with an X amount of failed attempts before a successful login hints a possible brute-force attempt, checking for failed logins is of paramount importance. In LogPoint, you can use the following query as an easy mean to check for 100 failed attempts before a successful login.

Example

Potential brute-force attack attempts

LogPoint SIEM use cases Potential brute-force attack attempts

Log sources: Windows Server, Authentication sources

Requête

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc

Empêcher les attaques DoS

LogPoint peut facilement détecter les attaques DoS directement grâce à l’intégration d’un système de détection d’intrusion (IDS) pour ensuite créer des alertes et générer des incidents en fonction des données de log ingérées à partir du système externe. De plus, LogPoint peut également détecter toute augmentation de la fréquence des tâches exécutées de manière suspecte ou une augmentation du volume de logs dans un délai donné, indiquant ainsi qu’une éventuelle attaque DoS est en cours de préparation.

Sources de logs : Endpoint security