Trussel, Malware og sårbarhets deteksjon

Avanserte cybertrusler er svært sofistikerte og er ofte målrettede cybersikkerhetstrusler med fokus på en bestemt industri, sektor eller et geografisk område, og noen ganger til og med individuelle organisasjoner. Standard anti-malware kontroller og endepunktløsninger klarer ofte ikke å blokkere eller forhindre disse angrepene, da det å oppdage dem krever et kraftig verktøy som en SIEM kombinert med trusseletterretning og atferdsanalyse. Husk at nettkriminelle trenger bare å finne en enkel sårbarhet for å utføre et angrep; Derfor er det å være proaktiv nøkkelen til å forhindre datalekkasje.

Identifisere trusselindikatorer mens du arbeider med store volumer av logger

Analytikere kan bruke spørsmål med generiske kommandoer for trusselinformasjon for å bare filtrere ut kritiske trusselindikatorer. I LogPoint kan filtrering være generisk, noe som gir deg alle treff til trusselinformasjon databasen, eller basert på en bestemt trusselskategori eller trusselscore. Med denne tilnærmingen lar vi analytikerne dine forenkle etterforskningsprosessen og fokusere på den faktiske trusselen.

Eksempel

Trusselindikatorer etter kategorier

LogPoint SIEM use cases: Threats in higher privilege systems

Loggkilder: Brannmur, Proxy, Trusseletterretning

Forespørsel

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Definere riktig cybersikkerhets risikostilling

Basert på LogPoints unike taksonomi for trusselindikatorpoeng, kan analytikere dra nytte av helautomatiske hendelsesresponsmekanismer ved hjelp av spørsmål for numerisk sammenligning. Videre kan de forstå den geografiske fordelingen av angrepskildene. Varselsspørsmål kan defineres basert på poengene for trusselindikatorer, risikoværdier / funksjoner, og også basert på opprinnelseslandet for hver av disse varslene. På denne måten gir vi sikkerhetsteamet ditt mulighet til å ta bedre informerte strategiske valg som fører til mer effektive hendelser og utbedring enn noensinne.

Loggkilder: Brannmur, Proxy, Trusseletterretning, Dynamisk Liste

Historisk analyse

I LogPoint Trusseletterretning forklares risikoen alltid med et antall berikede nøkkelverdipar som kategori og risikoscore. Disse nøkkelverdiparene vil deretter indekseres og lagres på diskene til de blir fjernet av oppbevaringsretningslinjene. Trusselkilder kan ikke alltid oppdages i nærheten av sanntid, noe som fører til at alvorlige angrep ikke blir oppdaget. For å unngå lignende scenarier, gjør dynamisk berikning i LogPoint det mulig for analytikere å retrospektivt undersøke angrep og avdekke vanskelige indikatorer.

Den samme tilnærmingen kan følges av en dynamisk liste, der analytikere kan lage en dynamisk liste for ekstremt risikable IOC og oppdatere listen for hver nye kamp til en trusselindikator fra trusselintel-databasen. På denne måten kan den dynamiske listen brukes som en svarteliste over IOC, og sjekkes mot historiske logger for å identifisere om noe ble savnet av trusselinformasjonen tidligere.

Eksempler

Enheter for kritiske trusler lagt til i dynamisk liste

LogPoint SIEM use cases: Critical threat entities appended to dynamic list

Loggkilder: Brannmur, Proxy, Dynamisk liste

Forespørsel

ip_address=* score>90 | process toList(IOCS,ip_address)

Enheter observert i listen over trusselindikatorer

LogPoint SIEM use cases: Entities observed in list of threat indicators

Loggkilder: Brannmur, Proxy, Dynamisk liste

Forespørsel

source_address IN IOCS | chart count() by source_address order by count() desc

Avansert analysekorrelasjon og mønstergjenkjenning

Som standard kan LogPoint utføre avansert korrelasjon av et hvilket som helst antall datakilder – internt, eksternt eller strukturert. Enten det er noe så enkelt som aggregering mellom to eller flere grupper av enheter som bruker- og kildeadresse for mislykkede pålogginger eller å kombinere poster i flere loggmeldinger på tvers av flere datakilder ved hjelp av join og etterfulgt av spørsmål, vil vi gi deg sanntid varsler om risikofylt atferd og avvikende aktiviteter.

I LogPoint kan dynamiske lister også brukes til å utføre avanserte korrelasjoner på en rekke måter, for eksempel å lage en dynamisk liste med IP-adresser eller vertsnavn for sårbare arbeidsstasjoner å identifisere enhver potensiell utnyttelse av en sårbarhet av en trusselkilde. Effektiv logganalyse krever utvinning av skjult informasjon ved hjelp av en kraftig kombinasjon av flere dataanalysemuligheter. Vi bruker agenter på ERP, databaser og HR-systemer for å samle inn data fra hele nettverket og sikkerhetsenheter, servere og applikasjoner. Analyse støttes deretter av vårt kraftige innebygde spørrespråk, trusselinformasjon, berikelse og andre avanserte matematiske funksjoner og prosesskommandoer.

Eksempel

Øktvarigheter som ikke er utløpte

LogPoint SIEM use cases: Unexpired session durations Screen K

Loggkilder: Windows Server, hvilken som helst annen kilde

Forespørsel

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Overvåking av gamle passord

Det er viktig å overvåke om det er gamle passord i en organisasjon. For å oppnå dette bruker LogPoint LDAP-oppføringer fra katalogserverne eller domenekontrollere. LogPoint-query, med kraftige matematiske funksjoner, kan brukes til å analysere passordets sist sett-attributt for å identifisere det eksakte antall dager da passordet sist ble tilbakestilt. For å gi et eksempel, bruker følgende spørring en LDAP-tabell for å se etter passord som er eldre enn 365 dager.

Eksempel

Passordaldring brukere

LogPoint SIEM use cases: Password ageing users

Loggkilder: LDAP

Forespørsel

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

p> Oppdag forsøk på brute-force angrep

Ettersom ethvert system med X-antall mislykkede forsøk, før en vellykket innlogging, antyder et mulig brute-force, er det viktig å sjekke for mislykkede pålogginger. I LogPoint kan du bruke følgende spørsmål som et enkelt middel for å se etter 100 mislykkede forsøk før en vellykket pålogging.

Eksempel

Potensielle brute-force angrepsforsøk

LogPoint SIEM use cases: Potential brute-force attack attempts

Loggkilder: Windows Server, godkjenningskilder

Forespørsel

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc