Topp brukssaker
for sikkerhet
operasjoner

Top Use Cases

I dagens globaliserte, digitale økonomi er det viktig å overvåke og beskytte bedriftens data mot avanserte cybertrusler. Dette blir stadig mer komplisert på grunn av for mange verktøy, mangel på sikkerhetskunnskaper og varslingstretthet. Dagens moderne SIEM-løsninger gjør at bedriften din kan reagere raskt og presist i tilfelle en trussel eller datalekkasje.

En moderne SIEM-løsning gir administrasjon, integrasjon, korrelasjon og analyse på ett sted, noe som gjør det enklere å overvåke og feilsøke IT-infrastrukturen din i sanntid fra ett enkelt grensesnitt. Til din bruk har vi laget et bredt spekter av use-cases med tilhørende Logpoint-eksempler for å hjelpe deg med å planlegge din forsvarsstrategi bedre.

Skadelig insidertrussel deteksjon

Når det gjelder beskyttelse av sensitive eiendeler fokuserer mange bare på forsvaret mot eksterne angrep som malware eller databrudd. I virkeligheten, utgjør ondsinnede insidere like mye trussel mot infrastrukturen din som utenforstående gjør.

Visste du at 53% av organisasjoner bekreftet at de hadde blitt offer for et insiderangrep de siste 12 månedene, og 27% av organisasjonene sier at insiderangrep har forekommet hyppigere? (Kilde: Cybersecurity Insiders: 2019 Insider Threat Report)

Det brede spekteret av brukstilfeller som er inkludert i LogPoint UEBA, støtter både påvisning av utførte angrep, men utenforstående angripere og innsidere bosatt i en organisasjon, noe som øker analytikernes samlede effektivitet.

Reduser brukerbaserte trusler mot privilegerte filer med File Integrity Monitoring

LogPoints FIM-applikasjon overvåker alle slags tilgangsforsøk til privilegerte fildelingssystemer og gir informasjon om hva slags type tilgang og handlingene som utføres i filen. I tillegg kan den originale og den endrede kontrollsummen også sammenlignes for å bedre forstå tilgangsatferd.

SIEM use cases File Integrity Monitoring Screen K

Loggkilder: FIM

Oppdage sidebevegelse

LogPoint UEBA bruker en blanding av endepunkt-, Active Directory- og repository data for å skanne etter mistenkelig atferd som avviker fra grunnlinjen.

Disse inkluderer:

  • Innloggingsfeil med forsøk på deaktiverte kontoer
  • Uvanlig aktivitet på ukedag eller en tid på dagen
  • Uvanlig tilgang til servere, fildelinger, applikasjoner eller andre ressurser
  • Et uvanlig stor tilgang til visse ressurser
  • Avvikende applikasjonsbruk og avvikende tilgangsmønstre til lagring

Eksempel: Innlogging mislyktes med forsøk på deaktiverte kontoer

Login failed attempts on disabled accounts

Loggkilder: Windows Server, UEBA

Forespørsel

Oppdage datastaging og exfiltrering

Kompromitterte kontoer eller maskiner prøver vanligvis å flytte data til iscenesettelsesområder der de lett kan trekkes ut av organisasjonens nettverk. Mens angriperne klargjøres for fjerning, vil angripere bruke verktøy som PSExec eller eksterne skrivebordsverktøy. I dette tilfellet vil UEBA oppdage og markere uregelmessig iscenesettelse og lateral bevegelse inkludert (den svært uvanlige) intra-arbeidsstasjonen dataoverføringer med høyt volum, uvanlige protokoll / portkombinasjoner og uvanlig store mengder datatilgang.

Eksempler: Høy utgående dataoverføring

LogPoint SIEM use cases: High Outbound Data Transfer

Loggkilder: Firewall, Proxy

Forespørsel
sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Utgående dataoverføring fra kilder

LogPoint SIEM use cases: Outbound data transfer by sources

Loggkilder: Firewall, Proxy

Forespørsel
source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

Kompromiss med privilegerte kontoer

LogPoint UEBA er designet for å identifisere privilegerte kontoer og bruker maskinlæring til å gjøre resten. LogPoints UEBA overvåker kontinuerlig privilegerte kontoer for å spore og score aktivitetstid, autentisering, tilgang, applikasjonsbruk og dataflytting. LogPoint UEBA tildeler deretter en risikoscore til enhver konto som avviker fra baseline, og hvis den fortsetter å oppføre seg unormalt, øker risikoscoren. I mellomtiden visualiserer LogPoint UEBA-analyser kontoens aktivitet og varsler sikkerhetsanalytikeren om å validere hendelsen og raskt iverksette tiltak.

Eksempel: Trend for mislykkede godkjenningsforsøk

SIEM use cases: Trend of failed authentication attempts

Loggkilder: Windows Server

Forespørsel
label=Authentication label=Fail | timechart count()

Avdekke IoC

Systemer som er involvert i unormal oppførsel kan lett berikes med trusseletterretning-feeder for å sjekke de tilhørende indikatorene for kompromiss. Videre, gir LogPoint deg den nøyaktige geografiske plasseringen til angrepskilden.

Eksempel: Indikatorer for kompromiss ved geolokalisering

LogPoint SIEM use cases: Indicators of compromise by geolocation

Loggkilder: Firewall, Proxy, Threat Intelligence

Forespørsel
risk_score=* -source_address in HOMENET 
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress 
| process geoip(SourceAddress) as country 
| chart count() by country, source_address order by count() desc limit 10