Topp brukssaker
for sikkerhet
operasjoner

Top Use Cases

I dagens globaliserte, digitale økonomi er det viktig å overvåke og beskytte bedriftens data mot avanserte cybertrusler. Dette blir stadig mer komplisert på grunn av for mange verktøy, mangel på sikkerhetskunnskaper og varslingstretthet. Dagens moderne SIEM-løsninger gjør at bedriften din kan reagere raskt og presist i tilfelle en trussel eller datalekkasje.

En moderne SIEM-løsning gir administrasjon, integrasjon, korrelasjon og analyse på ett sted, noe som gjør det enklere å overvåke og feilsøke IT-infrastrukturen din i sanntid fra ett enkelt grensesnitt. Til din bruk har vi laget et bredt spekter av use-cases med tilhørende Logpoint-eksempler for å hjelpe deg med å planlegge din forsvarsstrategi bedre.

Threat Hunting demonstrasjon

Med det økende behovet for mer og mer intelligente moderne SIEM-løsninger, krever bedrifter nå handlingsbare svar på et hvilket som helst antall sikkerhets- og forretningsutfordringer som presenteres rett ved hånden. LogPoints threat hunting funksjoner, inkludert avansert analyse, berikelse, korrelasjoner, UEBA og rapportering, vil gi deg muligheten til å styrke din generelle sikkerhetsstilling med bruk av et enkelt grensesnitt.

LogPoints hendelsesrespons integrasjoner gir automatisert arbeidsflyter for berikelse av forretningskontekster, informasjon om trusler og korrelasjon av loggdata med nettverksdata. Basert på organisasjonens arbeidsflyt, vil sikkerhetsteamet ditt ha myndighet til effektivt å samle bevis, bygge saken og rette opp.

Iscenesettelse

Example: Filinfeksjoner oppdaget

LogPoint SIEM use cases: File infections detected
Query
label=Detect label=File label=Infection | chart count() by sender,sender_domain,hash, receiver

Gå ned på første rad og identifiser kontrollsummen.

LogPoint SIEM use cases: Identifying Checksum

Bruk kontrollsummen til å bore tilbake til Virus Total.

LogPoint SIEM use cases: Virus Total

Konklusjon

Løft flagget og videre etterforskning krevd for å undersøke virkningen av infeksjonen.

Heis flagget

Lag en hendelse for oppfølging.

LogPoint SIEM use cases: Raise Flag
LogPoint SIEM use cases: Raise Flag
LogPoint SIEM use cases: Entities observed in list of threat indicators

Undersøkelse

Bruk den identifiserte hash som filter.

LogPoint SIEM use cases: Identified Hash as Filter

Velg hver bruker tilknyttet mottakerens e-post.

Bruker Rita viser mislykkede påloggingsforsøk på forskjellige servere.

LogPoint SIEM use cases: User Multiple Failed Logins

Gå til søkesiden for å se detaljene.

Example: Mislykket påloggingsforsøk for spesifikk bruker

LogPoint SIEM use cases: Failed login attempt for specific user
Query
label=Login label=Fail user="rita.mm" | chart count() by source_address,workstation,user,host order by count() desc

Velg en kilde-IP-adresse som brukes av brukeren Rita for å sjekke om det er andre mislykkede forsøk eller ikke.

Example: Mislykket påloggingsforsøk for spesifikk kilde

LogPoint SIEM use cases: Failed login attempt for specific source

Drill ned på denne hendelsen.

Vi observerer at en deaktivert konto prøver å logge inn på domenekontrolleren, substatskoden 0xC0000072 er faktisk knyttet til innlogging mislyktes på deaktivert konto.

LogPoint SIEM Threat Hunting use cases Failed login attempt on multiple filters by failure sub status

Nå går vi tilbake til søkemalen for å se etter IOC-er tilknyttet kilde 192.168.2.101.

LogPoint SIEM use cases: IOCs associated with source

Vi går ned på kategorien “Malware Command And Control” for å sjekke andre kildeadresser som er tilknyttet den.

Example: Trusselindikatorer for Malware Command And Control

LogPoint SIEM use cases: Threat indicators for malware command and control
Query
category="Malware Command And Control" | chart count() by source_address

Utbedring/rapportering

I løpet av trusseletterforskningen identifiserer vi at brukeren Rita er kompromittert og bør deaktiveres. Mens bruker Rob bør slettes for ikke å bli aktivert i fremtiden.

Fortsett med videre undersøkelser av hendelsen for å validere om det tidligere var noen aktiviteter med de identifiserte trusselindikatorene.

Trusselindikatorer for “Malware Command And Control” er lagt til listen

LogPoint SIEM use cases: Threat indicators for malware command and control appended to list
Query
category="Malware Command And Control" | chart count() by destination_address | process toList(ACTIVE_IOCS,destination_address)

Søk i historiske hendelser etter aktiviteter tilknyttet IP-ene i ACTIVE_IOCS-listen.

De infiserte systemene bør renses, og brannmurregelen bør oppdateres for å blokkere forbindelsene til “Command And Control Servers”

Example: Enheter observert i listen over trusselindikatorer

LogPoint SIEM use cases: Entities observed in list of threat indicators
Query
source_address IN ACTIVE_IOCS OR destination_address IN ACTIVE_IOCS