Topp 10 SIEM-brukstilfeller å implementere

LogPoint er en SIEM-løsning (Security Information and Event Management) som samler inn, lagrer og analyserer loggdata fra hele IT-infrastrukturen for å oppdage mistenkelige aktiviteter og reagere på trusler. Selv om SIEM-verktøyet primært brukes til sikkerhetsformål, er det flere andre brukstilfeller alle organisasjoner bør være oppmerksomme på, for eksempel automatisert samsvarsstyring, overvåking av driftsytelse eller loggadministrasjon.

Her er de 10 viktigste brukstilfellene som kan implementeres med LogPoint SIEM:

01 Oppdage kompromitterte brukeropplysninger

Sørg for å ha et brukstilfelle og en arbeidsprosess på plass for å oppdage alle forsøk på å kompromittere brukeropplysninger gjennom Brute Force, Pass the Hash, Golden Ticket eller andre metoder. Ved brudd er det avgjørende å identifisere brukerne og enhetene som er berørt, for å undersøke konsekvensene og forhindre ytterligere skade.

Detecting compromised user credentials
[label=User label=Login label=Successful logon_type=9 package=Negotiate logon_process=seclogo] as s1 followed by [norm_id=WindowsSysmon label="Process" label=Access image="*\lsass.exe" access="0x1010"] as s2 within 5 second on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.targetoutboundusername as target_user, s2.process as "process"
| chart count() by user, target_user

02 Sporing av systemendringer

Angi egnede regler for flagging av kritiske hendelser, for eksempel uautoriserte endringer i konfigurasjoner eller sletting av revisjonsspor. Disse endringene skal eskaleres umiddelbart for å stoppe skaden og minimere ytterligere risikoer, siden manipulering av revisjonslogger alltid er et rødt flagg.

Tracking system changes
label=Log label=Clear 
| chart count() by log_ts, host, user, target_channel

03 Oppdage uvanlig atferd på privilegerte kontoer

Privilegede brukere, for eksempel system- eller databaseadministratorer, har utvidede tilgangsrettigheter, noe som gjør dem til et attraktivt mål for hackere. Med en SIEM kan analytikere holde øye med alle handlinger disse privilegerte brukerne utfører, og se etter uvanlig atferd som kan indikere en trussel eller brudd.

RDP login to a domain controller

RDP-innlogging til en domenekontroller etterfulgt av RDP-innlogging til en annen arbeidsstasjon

[norm_id=WinServer label=User label=Login label=Remote host IN WINDOWS_DC user IN ADMINS] as s1 followed by [norm_id=WinServer label=User label=Login label=Remote -host IN WINDOWS_DC] as s2 within 10 minute on s1.user=s2.user 
| rename s1.host as domain_controller, s2.host as host, s1.user as user, s1.domain as domain
| chart count() by domain_controller, host, user, domain

04 Sikre skybaserte applikasjoner

Skybasert databehandling har mange fordeler, men det innebærer også flere utfordringer: møte nye samsvarskrav, forbedre brukerovervåking og tilgangskontroll eller forberede seg mot mulige malwareinfeksjoner og databrudd. En SIEM bør støtte skybaserte programmer som loggkilder, som Salesforce, Office365 eller AWS, for å utvide samsvarsovervåkingen og trusseloppdagelsen til nettskyen.

4.	Secure cloud-based applications
norm_id IN CLOUD_APPLICATIONS | chart count() by norm_id

05 Oppdagelse av phishing-forsøk

Phishing er et forsøk på å innhente sensitiv informasjon som brukes til bedrageri og etterligning. Dette inkluderer forsøk på å innhente personopplysninger, som personnummer, bankkontonummer eller PIN-koder og passord. Det er avgjørende å sikre at disse datatypene er beskyttet på tvers av hele organisasjonen. Phishing, spesielt spear-phishing, brukes ofte for å få første tilgang i et nettverk. Når analytikerne mottar en phishing-e-post, kan de bruke SIEM til å spore hvem som mottok dem, klikke på eventuelle lenker i dem eller svare på dem slik at de kan iverksette umiddelbare tiltak for å minimere skadene.

Phishing detection

Søker etter de mest klikkede generelle emnelinjene i e-posten:

label=Email label=Receive subject IN ['Payroll Deduction Form', 'Please review the leave law requirements', 'Password Check Required Immediately', 'Required to read or complete: "COVID-19 Safety Policy"', 'COVID-19 Remote Work Policy Update', 'Vacation Policy Update', 'Scheduled Server Maintenance -- No Internet Access', 'Your team shared "COVID 19 Amendment and Emergency leave pay policy" with you via OneDrive', 'Official Quarantine Notice', 'COVID-19: Return To Work Guidelines and Requirements']
| chart count() by source_address, subject, sender, receiver, destination_host

06 Overvåking av laster og oppetider

Med et SIEM-system justert med hensiktsmessige korrelasjonsregler og varsler blir det mulig å kontinuerlig overvåke belastning, oppetid og responstid på ulike servere og tjenester. Dette gjør det mulig å oppdage feil og overlast på et tidlig tidspunkt slik at nedetid og kostnader forbundet med dette forhindres.

6.	Monitoring loads and uptimes
label=Memory label=Usage | timechart max(use) as memoryUsePercent every 1 hour

07 Loggadministrasjon

Databaser, applikasjoner, brukere og servere genererer store mengder loggdata. Et SIEM-verktøy kan normalisere og sentralisere innsamlingen av loggdata. Dette muliggjør problemfri analyse og sikkerhetskorrelasjon, og gjør det mulig for IT-sikkerhetsteamet å søke gjennom dataene for å finne spesifikke nøkkelord eller verdier.

Log Management
label=Access label=Object

08 SIEM for GDPR-, HIPAA- eller PCI-samsvar

Organisasjoner er underlagt en rekke samsvarsforskrifter, for eksempel GDPR, HIPAA eller PCI. Med et SIEM-system kan du dokumentere når og av hvem dataene ble åpnet, lest eller kopiert, og dermed oppfylle samsvarskrav og forhindre brudd.

SIEM for GDPR, HIPAA, or PCI compliance
label=File label=Modify | chart count() by log_ts, user, user_type, source_address, domain, file, application

09 Trusseljakt

Prosessen med å aktivt søke etter cyberrisiko i en organisasjon eller et nettverk kalles trusseljakt. En trusseljakt kan utføres som svar på et sikkerhetsproblem eller for å avdekke nye og ukjente angrep eller brudd. Trusseljakt krever tilgang til sikkerhetsdata fra alle steder i selskapet, som en SIEM kan tilby.

Threat Hunting

Jakten på å aktivering av exe-filer på mistenkelige steder:

norm_id=WindowsSysmon event_id=11 file="*.exe" path IN ["C:\ProgramData*", "*\AppData\Local\*", "*\AppData\Roaming\*", "C:\Users\Public*"] -source_image IN ["*\Microsoft Visual Studio\Installer\*\BackgroundDownload.exe", "C:\Windows\system32\cleanmgr.exe", "*\Microsoft\Windows Defender\*\MsMpEng.exe", "C:\Windows\SysWOW64\OneDriveSetup.exe", "*\AppData\Local\Microsoft\OneDrive\*", "*\Microsoft\Windows Defender\platform\*\MpCmdRun.exe", "*\AppData\Local\Temp\mpam-*.exe"]
| chart count() by host, file, path, source_image

10 SIEM for automatisering

SIEM automatiserer trusseloppdagelsesaktiviteter og danner grunnlaget for automatisert hendelsesrespons. Videresending av sikkerhetsvarsler og hendelser til LogPoint SOAR gir raskere hendelsesrespons ved å automatisere manuelle oppgaver, noe som resulterer i lavere sikkerhetskostnader og økt SOC-produktivitet. Få LogPoint SOAR med ett analytikersete gratis nå (Link to get in touch interface), som en del av SIEM-lisensen.

Playbook in LogPoint SOAR

Strategier i LogPoint SOAR

Test fordelene med LogPoints SIEM-, UEBA- og SOAR-løsning

Bestill en personlig demo for å lære mer om fordelene med vårt SIEM-, UEBA- og SOAR-produkt og ulike nedlastingsalternativer.

Bestill en demo