Topp brukssaker
for sikkerhet
operasjoner

Top Use Cases

I dagens globaliserte, digitale økonomi er det viktig å overvåke og beskytte bedriftens data mot avanserte cybertrusler. Dette blir stadig mer komplisert på grunn av for mange verktøy, mangel på sikkerhetskunnskaper og varslingstretthet. Dagens moderne SIEM-løsninger gjør at bedriften din kan reagere raskt og presist i tilfelle en trussel eller datalekkasje.

En moderne SIEM-løsning gir administrasjon, integrasjon, korrelasjon og analyse på ett sted, noe som gjør det enklere å overvåke og feilsøke IT-infrastrukturen din i sanntid fra ett enkelt grensesnitt. Til din bruk har vi laget et bredt spekter av use-cases med tilhørende Logpoint-eksempler for å hjelpe deg med å planlegge din forsvarsstrategi bedre.

SOX compliance

SOX eller The Sarbanes-Oxley Act (SOX) ble vedtatt i 2002 i USA og krever at alle børsnoterte selskaper implementerer og bekrefter et rammeverk for internkontroll som støtter ansvarlighet og integritet i den økonomiske rapporteringsprosessen. I praksis betyr dette at som et forsøk på å “beskytte aksjonærer og allmennheten mot regnskapsfeil og uredelig praksis i virksomheter, og for å forbedre nøyaktigheten til offentliggjøring av selskaper.” (Kilde: Digital Guardian: Hva er SOX compliance?2019 SOX Requirements & More, Juliana De Groot). Organisasjoner må kunne presentere hvor sensitive data lagres, hvordan de lagres og hvem som har tilgang til dem. Å holde oversikt over sensitive data og regulere tilgangen til nettverket og systemene dine er hjørnesteinen i SOX compliance. Å ha et SIEM for å samle, analysere og visualisere denne informasjonen for deg, gjør compliance enklere og mer effektivt enn noen gang.

Overvåking av kritiske systemer

Kritiske systemer som inneholder sensitiv informasjon, bør overvåkes kontinuerlig for å oppdage mistenkelig aktivitet. LogPoint støtter dynamiske liste og tabeller, noe som sikrer konstant risikovurdering. I LogPoint samles og lagres spesifikke verdier fra hendelser i dynamiske lister fra hendelser, og tillater dynamiske oppdateringer ved hjelp av verdier fra loggmeldinger. Dynamiske tabeller lagrer spesifiserte felt og feltverdier under kjøretiden som skal brukes som berikningskilder. Ved å gjøre det mulig for analytikere å definere dynamiske lister og tabeller, kan organisasjoner redusere tiden til å oppdage og svare på hendelser raskere. Ved å kombinere dynamiske lister med statisk berikelse, gir vi også kundene våre muligheten til å bygge selvkonfigurerende analyse for automatisk å reagere på nye observasjoner av dataene, og dermed akselerere responsen.

Example: Uprivilegerte forbindelser til kritiske systemer

LogPoint SIEM use cases: Un-privileged connections to critical systems

Log sources: Firewall

Query
label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc

Sikre nettverkssikkerhet

Nettverkssikkerhet sørger for at CIA-triaden for nettverksinfrastruktur og relaterte data blir oppfylt. De tre komponentene i triaden er konfidensialitet, integritet og tilgjengelighet. Konfidensialitet sørger for at nettverket ditt ikke får tilgang til av uautoriserte brukere eller fra uautoriserte nettverk. Integritet garanterer at filer eller data i hvile eller bevegelse er beskyttet mot uautorisert modifisering. Tilgjengelighet garanterer at systemet og nettverket er i gang når det trengs.

LogPoint integreres med et bredt spekter av nettverks- og brannmurenheter. Dataene fra disse enhetene kan normaliseres, samles, berikes og korreleres for å sikre sikkerhet inne i nettverket. Videre kan trusseletterretning-feeder brukes til å berike loggdataene for å forstå om nettverket blir målrettet av en ekstern angriper. LogPoint kan sjekke forskjellige aktiviteter som tillatte og nektede forbindelser, bruk av data og applikasjoner, forbindelse til trusselkilder eller andre mistenkelige aktiviteter. Enhver eiendel, system eller enhet i en nettverksaktivitet når den er assosiert med flere høyrisikoindikatorer, antyder at nettverkets sikkerhetsstilling er i fare. LogPoint kan identifisere slike trusler ved bruk av sammenføyningsspørsmål mellom brannmuren og sårbare skanningsposter. Resultatene som samsvarer med denne tilstanden kan også kontrolleres for tilknytning til en indikator på kompromiss. Denne aktiviteten kan forenkles ved bruk av dynamiske lister, der en liste over sårbare systemer kontinuerlig opprettholdes, og et varsel utløses hver gang en forbindelse fra en IOC opprettes til verdiene i listen.

LogPoint SIEM use cases: Network security

Log sources: Firewall, Vulnerability scanning

Query
[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* 
| process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address 
| rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent 
| chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

Overvåking av retningslinjer

IT-policyer definerer hvilke sikkerhetsrelaterte retningslinjer ansatte skal overholde for å opprettholde det høyeste sikkerhetsnivået. Enhver endring i organisasjonens IT-policy er avgjørende og bør derfor følges nøye. LogPoint kan enkelt oppdage policyendringer som revisjon, godkjenning, autorisasjon, filtrering og mange flere.

Example: Endringer i retningslinjer for revisjon

LogPoint SIEM use cases: Audit policy changes

Log sources: Windows Server

Query
label=Audit label=Policy label=Change | chart count() by log_ts, user, message

Rollebasert tilgangskontroll

LogPoint gir deg fleksibel, men likevel kraftig bruker- og kontoadministrasjon drevet av en rollebasert tilgangskontrollmekanisme der brukertilgang kan knyttes til AD via LDAP for en forenklet oppretting av brukerkonto. Disse brukerne kan deretter tilordnes til spesifikke grupper i LogPoint. Gruppetillatelser til systemet er tilpasset en rollebasert tilnærming til administrative rettigheter, som gir full kontroll over tilgang til loggdatabasene og dashbordbruken, operatørrettigheter for data og analytiske formål og administrasjon av brukerkonto for administrering av bruker, grupper og tillatelser.