Principaux cas d’utilisation pour la sécurité opérations

Top Use Cases

Dans l’économie numérique mondialisée d’aujourd’hui, il est essentiel de surveiller et de protéger les données de votre entreprise contre les cybermenaces avancées. Cela devient de plus en plus compliqué en raison du trop grand nombre d’outils, du manque de compétences en matière de sécurité et de la fatigue des alertes. Les solutions SIEM modernes d’aujourd’hui permettent à votre entreprise de réagir rapidement et précisément en cas de menace ou de fuite de données.

Une solution SIEM moderne fournit la gestion, l’intégration, la corrélation et l’analyse en un seul endroit, ce qui facilite la surveillance et le dépannage de votre infrastructure informatique en temps réel à partir d’une seule interface. Pour votre usage, nous avons créé une large gamme de cas d’utilisation avec des exemples Logpoint associés pour vous aider à mieux planifier votre stratégie de défense.

Informations sur les opérations et les politiques de cybersécurité

Tout retard dans vos opérations de cybersécurité peut avoir un impact significatif sur vos performances et votre réputation, donnant ainsi à vos concurrents l’opportunité dont ils ont besoin pour récupérer vos parts de marché. La surveillance des performances des applications et de l’intégrité des actifs ainsi que la résolution rapide de problèmes sont essentielles pour maintenir votre santé opérationnelle dans des conditions optimales. Il a été démontré que les technologies d’analyse et d’automatisation de l’information améliorent la productivité et réduisent les coûts en aidant les employés à en faire plus avec moins.

Utilisation de données

Cette notion peut être appliquée à l’utilisation des données entrantes et sortantes. La surveillance de l’utilisation des données est l’une des approches fondamentales pour obtenir un aperçu du fonctionnement et de la réponse du réseau dans le cas d’un transfert de données externe. Tout comportement étrange affiché par la surveillance de l’utilisation peut suggérer une possible congestion, une panne ou une activité suspecte. Le graphique ci-dessous fait apparaitre en Mo l’utilisation de toutes les données ainsi que celles sortantes et entrantes.

Example: Vue d’ensemble des données sortantes

LogPoint SIEM use cases: Overall outbound data usage

Log sources: Firewall

Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | 
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, 
sum((received_datasize)/1000/1000) as ReceivedMB

Utilisation de l’imprimante

L’utilisation des services d’impression peut être réglementée par l’utilisation de LogPoint pour surveiller les activités d’impression. Le graphique ci-dessous montre de manière chronologique la quantité d’impression effectuée toutes les heures ainsi que le nombre de tentatives. De plus, ce dernier affiche également le ratio de documents imprimés par tentative.

Example:Utilisation du service d’impression

LogPoint SIEM use cases: Usage of printer

Log sources: Windows Printer

Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Les utilisateurs conservant des mots de passe vieillissants

Les entreprises appliquent des politiques de mot de passe qui nécessitent la réinitialisation de celui-ci tous les X jours. Cette plage de temps peut varier en fonction des besoins et des exigences en matière de sécurité de l’entreprise en question. Cependant, dans de nombreux cas, les entreprises semblent ne pas appliquer les politiques pour de nombreuses raisons différentes.

Par conséquent, il est important de surveiller s’il existe des mots de passe vieillissants au sein d’une entreprise. Pour ce faire, LogPoint utilise les entrées LDAP de vos serveurs de répertoires ou contrôleurs de domaine. Les requêtes LogPoint avec de puissantes fonctions mathématiques peuvent être utilisées pour analyser l’attribut concernant la dernière mise à jour du mot de passe afin d’identifier le nombre exact de jours qui se sont écoulés depuis la dernière réinitialisation de celui-ci.

Pour vous donner un exemple, la requête suivante utilise une table LDAP pour rechercher des mots de passe qui n’ont pas été modifiés depuis plus de 365 jours.

Example: Les utilisateurs conservant des mots de passe vieillissants

LogPoint SIEM use cases: Password ageing users

Log sources: LDAP

Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Utilisateurs se connectant à partir de plusieurs sources

Example: Comptes utilisateur partagés potentiels

LogPoint SIEM use cases: Potential shared user accounts

Log sources: Windows Server, Other authentication sources

Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1