Détection de menaces internes malveillantes

Concernant la protection des actifs sensibles, beaucoup se concentrent uniquement sur une défense contre les attaques extérieures telles que des malwares ou des violations de données. En réalité, les menaces internes (insiders) représentent des risques tout aussi réels pour votre infrastructure que des malwares externes.

Saviez-vous que 53% des entreprises ont confirmé avoir été victimes d’une attaque interne au cours des 12 derniers mois et 27% ont déclaré que des attaques internes étaient devenues plus fréquentes ? (Source: Cybersecurity Insiders: 2019 Insider Threat Report).

Le large éventail de cas d’utilisation intégré à LogPoint UEBA traite à la fois la détection des attaques lancées par des attaquants externes et internes, à savoir résidant au sein d’une entreprise, améliorant ainsi l’efficacité globale des analystes.

Mitigez les menaces basées sur l’utilisateur au niveau des fichiers à privilèges élevés avec File Integrity Monitoring

L’application FIM de LogPoint surveille tout type de tentative d’accès aux systèmes de partage de fichiers à privilèges élevés et fournit des informations sur le type d’accès et les actions effectuées dans le fichier. De plus, les sommes de contrôle (checksums) d’origine et celles modifiées peuvent également être comparées pour mieux comprendre le comportement en termes d’accès.

LogPoint SIEM use cases File Integrity Monitoring

Log sources: FIM

Détection des mouvements latéraux

LogPoint UEBA utilise un mélange de données provenant des systèmes endpoint, Active Directory et des référentiels pour détecter les comportements suspects s’écartant de la norme.

Ces données comprennent :

  • Des tentatives de connexion qui ont échoué au niveau de comptes désactivés.
  • Des activités inhabituelles par jour de la semaine ou heure de la journée.
  • Des accès inhabituels aux serveurs, partages de fichiers, applications ou autres ressources.
  • Les accès anormalement élevés à certaines ressources.
  • Une utilisation d’applications anormale et des schémas d’accès au stockage atypiques.

Comme LogPoint UEBA incorpore une analyse de netflow, de nouveaux modèles seront ajoutés permettant l’analyse de volume anormalement élevé de connexions au niveau d’un endpoint ou entre différents endpoints ainsi que des analyses de port inhabituelles.

Exemple

Les tentatives de connexion qui ont échoué avec de comptes désactivés

LogPoint SIEM use case Login failed attempts on disabled accounts

Log sources: Windows Server, UEBA

Requête

label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()

Détection du staging (stockage intermédiaire) et de l’exfiltration de données

Les comptes ou machines compromis tentent généralement de déplacer les données vers des zones de staging où elles pourront être facilement extraites du réseau de l’entreprise. Lors de la préparation des données à extraire, les attaquants utiliseront des outils tels que PSExec ou des outils de bureau à distance. Dans ce cas, l’UEBA détectera et mettra en évidence des opérations de staging et des mouvements latéraux anormaux, notamment des transferts de données importants entre postes de travail (très inhabituels), des combinaisons de protocoles/ports inhabituelles ainsi que des volumes inhabituellement élevés d’accès aux données.

Exemples

Transfert important de données sortantes

LogPoint SIEM use cases High Outbound Data Transfer Screen K

Log sources: Firewall, Proxy

Requête

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Transfert de données sortantes par sources

LogPoint SIEM use cases Outbound data transfer by sources

Log sources: Firewall, Proxy

Requête

source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

Compromission de comptes à privilèges

LogPoint UEBA a été conçu pour identifier les comptes privilégiés et utilise le Machine Learning (ML) pour réaliser les autres activités. La fonctionnalité UEBA de LogPoint surveille en permanence les comptes à privilèges pour suivre et évaluer le temps d’activité, l’authentification, l’accès, l’utilisation des applications et le mouvement des données. LogPoint UEBA attribue ensuite un score de risque à tout compte qui s’écarte de la norme et si ce dernier continue à agir de manière anormale, le score de risque augmente. Pendant ce temps, les analyses réalisées par LogPoint UEBA permettent de visualiser l’activité du compte et d’alerter l’analyste cybersécurité afin de valider l’incident et permettre qu’une action rapide soit lancée.

Exemple

Tendance concernant les tentatives d’authentification qui ont échoué

LogPoint SIEM use cases Trend of failed authentication attempts

Log sources: Windows Server

Requête

label=Authentication label=Fail | timechart count()

A la découverte des IoC

Les systèmes impliqués dans la gestion des comportements anormaux, quels qu’ils soient, peuvent être facilement enrichis avec des flux de renseignements sur les menaces (Threat Intelligence) afin de vérifier les indicateurs de compromission associés. De plus, LogPoint vous fournit l’emplacement géographique exact de la source de l’attaque.

Exemple

Indicateurs de compromission par géolocalisation

LogPoint SIEM use cases Indicators of compromise by geolocation

Log sources: Firewall, Proxy, Threat Intelligence

Requête

risk_score=* -source_address in HOMENET | process ti(source_address)|search et_ip_address=* OR cs_ip_address=*|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress | process geoip(SourceAddress) as country | chart count() by country, source_address order by count() desc limit 10