///Informations sur les opérations et les politiques de cybersécurité

Informations sur les opérations et les politiques de cybersécurité

Tout retard dans vos opérations de cybersécurité peut avoir un impact significatif sur vos performances et votre réputation, donnant ainsi à vos concurrents l’opportunité dont ils ont besoin pour récupérer vos parts de marché. La surveillance des performances des applications et de l’intégrité des actifs ainsi que la résolution rapide de problèmes sont essentielles pour maintenir votre santé opérationnelle dans des conditions optimales. Il a été démontré que les technologies d’analyse et d’automatisation de l’information améliorent la productivité et réduisent les coûts en aidant les employés à en faire plus avec moins.

Utilisation de données

Cette notion peut être appliquée à l’utilisation des données entrantes et sortantes. La surveillance de l’utilisation des données est l’une des approches fondamentales pour obtenir un aperçu du fonctionnement et de la réponse du réseau dans le cas d’un transfert de données externe. Tout comportement étrange affiché par la surveillance de l’utilisation peut suggérer une possible congestion, une panne ou une activité suspecte. Le graphique ci-dessous fait apparaitre en Mo l’utilisation de toutes les données ainsi que celles sortantes et entrantes.

Exemple

Vue d’ensemble des données sortantes

LogPoint Outbound Data Usage Dashboard

Sources de logs : Firewall

Requête

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

Utilisation de l’imprimante

L’utilisation des services d’impression peut être réglementée par l’utilisation de LogPoint pour surveiller les activités d’impression. Le graphique ci-dessous montre de manière chronologique la quantité d’impression effectuée toutes les heures ainsi que le nombre de tentatives. De plus, ce dernier affiche également le ratio de documents imprimés par tentative.

Exemple

Utilisation du service d’impression

LogPoint SIEM use cases Usage of printer

Sources de logs : Windows Printer

Requête

label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Les utilisateurs conservant des mots de passe vieillissants

Les entreprises appliquent des politiques de mot de passe qui nécessitent la réinitialisation de celui-ci tous les X jours. Cette plage de temps peut varier en fonction des besoins et des exigences en matière de sécurité de l’entreprise en question. Cependant, dans de nombreux cas, les entreprises semblent ne pas appliquer les politiques pour de nombreuses raisons différentes.

Par conséquent, il est important de surveiller s’il existe des mots de passe vieillissants au sein d’une entreprise. Pour ce faire, LogPoint utilise les entrées LDAP de vos serveurs de répertoires ou contrôleurs de domaine. Les requêtes LogPoint avec de puissantes fonctions mathématiques peuvent être utilisées pour analyser l’attribut concernant la dernière mise à jour du mot de passe afin d’identifier le nombre exact de jours qui se sont écoulés depuis la dernière réinitialisation de celui-ci.

Pour vous donner un exemple, la requête suivante utilise une table LDAP pour rechercher des mots de passe qui n’ont pas été modifiés depuis plus de 365 jours.

Exemple

Les utilisateurs conservant des mots de passe vieillissants

LogPoint SIEM use cases Password ageing users

Sources de logs : LDAP

Requête

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Utilisateurs se connectant à partir de plusieurs sources

Exemple

Comptes utilisateur partagés potentiels

LogPoint SIEM use cases Potential shared user accounts

Sources de logs : Windows Server, autres sources d’authentification

Requête

label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1