Topp 10 SIEM-bruksområder å implementere

Med den økende etterspørselen etter SIEM-løsninger, vil selskaper ha svarene på et hvilket som helst antall sikkerhets- og forretningsutfordringer som dukker opp i den daglige driften.

Dette er de 10 beste SIEM-brukscasene og atferdene som LogPoint kan oppdage i infrastrukturen din. Hvis du ønsker mer informasjon om noen av disse brukscasene eller har bruksområder du synes er spesielt relevante, kan du kontakte oss. Vi vil gjerne høre fra deg!

01 Autentiseringsaktiviteter

Autentiseringsaktiviteter med ekstra kontekst, for eksempel pålogginger i kritiske systemer og mislykkede påloggingsforsøk som er større enn en gitt terskel.

LogPoint SIEM Top 10 Successful Logins

Vellykkede pålogginger

norm_id=* label=User label=Login label=Successful -user=*$ host IN CRITICAL_SYSTEM | chart count() by host, user order by count() desc limit 10

LogPoint SIEM Top 10 Successful Logins
LogPoint SIEM Failed Logins Above Threshold

Mislykkede pålogginger over en terskel

norm_id=* label=User label=Login label=Fail -user=*$ user=* | chart count() as "Count" by user order by "Count" desc limit 10 | search "Count">50

02 Kontostyring

Overvåking av oppretting av brukerkonto, sletting og andre aktiviteter for å overvåke ressurs- og systemtilgangsrettigheter.

LogPoint SIEM User Account Creation

Opprettelse av brukerkonto

norm_id=WinServer* label=User label=Account label=Management label=Create -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM User Account Creation
LogPoint SIEM User Account Deletion

Sletting av brukerkonto

norm_id=WinServer* label=User label=Account label=Management (label=Delete OR label=Remove) -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM User Account Enabled

Brukerkonto aktivert

norm_id=WinServer* label=User label=Account label=Management label=Enable -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM User Account Enabled

03 Tilkoblingsaktiviteter

Overvåking av tilkoblingsaktiviteter for å gi en oversikt over nettverkstilkoblingene etter status, opprinnelse og retning. Dette definerer om forbindelser er tillatt / nektet, vertsnavnet, kildens landnavn, destinasjon og retning.

LogPoint SIEM Top 10 Allowed Inbound Connection by Location

Tillatte innkommende forbindelser etter sted

label=Connection label=Allow -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Top 10 Allowed Outbound Connection by Location

Tillatt utgående tilkobling etter sted

label=Connection label=Allow source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Top 10 Allowed Outbound Connection by Location
LogPoint SIEM Top 10 Denied Inbound Connection by Location

Nektet innkommende forbindelser etter sted

label=Connection label=Deny -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Top 10 Denied Outbound Connection by Location

Nektet utgående tilkobling etter sted

label=Connection label=Deny source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Top 10 Denied Outbound Connection by Location
LogPoint SIEM Top 10 Internal Denied Internal Connection by IP

Nektet interne tilkoblinger etter IP / vertsnavn

norm_id=* label=Connection label=Deny source_address=* destination_address=* source_address in HOMENET destination_address in HOMENET | chart count() by source_address, destination_address order by count() desc limit 10

04 Policy-relaterte aktiviteter

Overvåking og oppdagelse av policyendringer som revisjon, godkjenning, autorisasjon, filtrering og mange flere.

LogPoint SIEM Password Ageing by User

Passordets aldring av brukeren

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>30

LogPoint SIEM Password Ageing by User
LogPoint SIEM Users Authentication from Multiple Sources

Brukergodkjenning fra flere kilder

norm_id=* label=User (label=Login OR label=Authenctication) source_address=* -user=*$ user=* | chart distinct_count(source_address) as UniqueSource by user order by UniqueSource desc limit 10 | search UniqueSource>1

05 Deteksjon av trussel, skadelig programvare og sårbarhet

Aktiviteter relatert til trusler, som indikatorer på kompromiss, infeksjoner med skadelig programvare og identifisering av sårbare systemer.

LogPoint identifisering av trussel spillere widget

Identifikasjon av trusselindikatorer

norm_id=* source_address=* -source_address in HOMENET | process ti(source_address) | rename et_category as category,cs_category as category, et_score as score,cs_score as score| chart count() by source_address, category, score order by score desc limit 10

LogPoint identifisering av trussel spillere widget
LogPoint SIEM Identification of Vulnerable Sources

Identifikasjon av sårbare kilder

(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) severity=4 or severity=5 source_address=* | rename title as vulnerability |chart count() by source_address, vulnerability order by count() desc

LogPoint SIEM Failed Malware Cleaning

Mislykket malware rengjøring

norm_id=* label=Malware label=Clean label=Fail malware=* | chart count() by host, malware order by count() desc limit 10

LogPoint SIEM Failed Malware Cleaning

06 Driftsinnsikt

Aktiviteter relatert til overvåking av daglige operative aktiviteter, for eksempel innkommende og utgående databruk eller databruk etter spesifikke applikasjoner.

LogPoint SIEM Inbound Data Usage

Innkommende databruk

norm_id=* source_address=* -source_address in HOMENET destination_address IN HOMENET received_datasize=* -source_address=176.161*| timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum(received_datasize/1000/1000) as ReceivedMB

LogPoint SIEM Outbound Data Usage

Utgående databruk

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

LogPoint SIEM Outbound Data Usage
LogPoint SIEM Data Usage by Application

Databruk etter applikasjon

norm_id=* (label=Connection OR label=Traffic) application=* sent_datasize=* received_datasize=* | chart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB by application order by TotalMB desc

07 Avvikende oppførsel

Enhetsbaserte profiler ved bruk av ML-teknikker for å identifisere ondsinnet oppførsel som datastaging, infisert vert eller misbruk av kontoer.

LogPoint SIEM Lateral Movement

Sidelengs bevegelse og dataeksfiltrering

Med LogPoint UEBA kan sidebevegelse lett oppdages, slik at du er i stand til å begrense uautorisert bevegelse i miljøet ditt. Få sanntidsvarsler om uautorisert dataoverføring i nettverket ditt, uansett om overføringen er manuell eller automatisert.

LogPoint SIEM Lateral Movement

08 Varsling og respons på hendelsen

Eventuelle mistenkelige situasjoner som utløser varsler og deretter prosessen med hendelsesadministrasjon.

LogPoint SIEM Facilitate Incident Response Mechanism

Gjør det lettere å reagere på hendelser

LogPoints Incident Response-integrasjoner gir automatiserte arbeidsflyter for berikelse av forretningskontekster, trusselintelligens og korrelasjon av loggdata med nettverksdata for å samle bevis, utbedre og svare på hendelser effektivt.

09 Compliance, regulering og revisjon

Forskriftsmessige compliance og revisjonskrav som ISO27001, GDPR, PCI DSS, HIPAA og mange flere.

LogPoint SIEM FIM File Integrity Monitoring for PCI DSS

Overvåking av filintegritet

norm_id=IntegrityScanner label=Change (label=File or label=Registry) | rename registry as object, file as object | chart count() by log_ts, host, action, object, prev_hash, hash order by count() desc limit 10

LogPoint SIEM FIM File Integrity Monitoring for PCI DSS

10 Avansert korrelasjon og berikelse

Bli med og etterfulgt av spørsmål, utvidet med matematiske operasjoner og aggregeringer for korrelasjonsbasert avansert analyse.

LogPoint SIEM Correlation Between Multiple Data Sources

Korrelasjon mellom flere datakilder

[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent | chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

LogPoint SIEM Potential Brute Force Attempt

Potensielt brute force forsøk

10 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc

LogPoint SIEM Potential Brute Force Attempt
LogPoint SIEM Incomplete Sessions

Ufullstendige økter

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | fields log_ts, user

LogPoint SIEM Average Session Duration of Completed Sessions

Gjennomsnittlig øktvarighet for fullførte økter

[ label=Login label=Successful] as s1 join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | rename s1.user as user | chart avg(s2.log_ts-s1.log_ts) as duration by user order by duration desc

LogPoint SIEM Average Session Duration of Completed Sessions
LLogPoint SIEM Incomplete Session Duration

Ufullstendig øktvarighet

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc