Topp brukssaker
for sikkerhet
operasjoner

Top Use Cases

I dagens globaliserte, digitale økonomi er det viktig å overvåke og beskytte bedriftens data mot avanserte cybertrusler. Dette blir stadig mer komplisert på grunn av for mange verktøy, mangel på sikkerhetskunnskaper og varslingstretthet. Dagens moderne SIEM-løsninger gjør at bedriften din kan reagere raskt og presist i tilfelle en trussel eller datalekkasje.

En moderne SIEM-løsning gir administrasjon, integrasjon, korrelasjon og analyse på ett sted, noe som gjør det enklere å overvåke og feilsøke IT-infrastrukturen din i sanntid fra ett enkelt grensesnitt. Til din bruk har vi laget et bredt spekter av use-cases med tilhørende Logpoint-eksempler for å hjelpe deg med å planlegge din forsvarsstrategi bedre.

Operasjonell og innsikt relatert til retningslinjer

Ethver forsinkelse i IT-sikkerhetsoperasjoner kan ha en betydelig innvirkning på ytelsen og omdømmet ditt, og gi konkurrentene den åpningen de trenger for å skaffe seg markedsandelene dine. Overvåking av applikasjonsytelse og aktivitetsintegritet og rask feilsøking er viktig for å holde din operative helse i optimal tilstand. Informasjonsanalyse og automatiseringsteknologi har vist seg å forbedre produktiviteten og redusere kostnadene ved å hjelpe ansatte å gjøre mer med mindre.

Databruk

Dette kan brukes både for inn- og utgående databruk. Databrukovervåking er en av de grunnleggende tilnærmingene for å få et innblikk i hvordan nettverket fungerer og responderer på den eksterne datakommunikasjonen. Enhver merkelig oppførsel som vises av bruksovervåking, kan tyde på mulig overbelastning, svikt eller mistenkelig aktivitet. Følgende diagram viser totaldata, utgående data og innkommende databruk i MB.

Example: Samlet utgående databruk

LogPoint SIEM use cases: Overall outbound data usage

Log sources: Firewall

Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | 
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, 
sum((received_datasize)/1000/1000) as ReceivedMB

Bruk av printer

Bruk av printertjenester kan reguleres ved bruk av LogPoint for å overvåke utskriftsaktivitetene. Tabellen nedenfor viser tidslinjen for hvor mange utskrifter som foretas hver time sammen med antall forsøk. I tillegg forklarer dette også forholdet mellom dokumenter som skrives ut per forsøk.

Example: Bruk av printertjenester

Usage of printer SIEM screenshot

Log sources: Windows Printer

Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Passordaldring brukere

Organisasjoner håndhever passordretningslinjer som krever tilbakestilling av passordet etter hvert X-antall dager. Denne tidsperioden kan variere avhengig av behovet og sikkerhetskravene til organisasjonen. I mange tilfeller ser det imidlertid ut til at organisasjoner ikke klarer å håndheve retningslinjene av mange forskjellige grunner.

Derfor er det viktig å overvåke om det er aldrende passord i en organisasjon. For å oppnå dette bruker LogPoint LDAP-oppføringer fra katalogserverne eller domenekontrollere. LogPoint-spørsmål med kraftige matematiske funksjoner kan brukes til å analysere passordets siste attributt for å identifisere det eksakte antall dager da passordet sist ble tilbakestilt.

For å gi et eksempel, følgende etterspørsel bruker en LDAP-tabell for å se etter passord som er eldre enn 365 dager.

Example: Aldring av passord brukere

LogPoint SIEM use cases: Password ageing users

Log sources: LDAP

Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Brukere som kobler seg fra flere kilder

Example: Potensielt delte brukerkontoer

LogPoint SIEM use cases: Potential shared user accounts

Log sources: Windows Server og andre autentiseringskilder

Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1