Gi sikkerhetsanalytikerne dine muligheter med SIEM trusseletterretning

Nøkkelen til avansert trussel deteksjon er å forstå sårbarhetene dine og ha tilstrekkelig med erfaring og intelligens for å redusere trusler. Det er vanligvis vanskelig å identifisere indikatorer på reell risiko, og nærmest umulig å forberede seg på hver eneste nye trussel. Dermed vil utnyttelse av tilgjengelige etterretningskilder være den beste måten å hjelpe organisasjonen din med å prioritere trusler og utvide våpenhuset hvis det skulle komme ned til et angrep.

Trusseletterretning automatisering, ett aspekt av en helhetlig cybersikkerhetsstrategi, hjelper deg med å forstå risiko tilknyttet de vanligste og alvorligste eksterne truslene. For eksempel, null-dagers trusler, avanserte vedvarende trusler og utnyttelser. Den lar deg samle inn og analysere data om de nyeste truslene fra et bredt spekter av kilder. Trusselinformasjonen fra sikkerhetsleverandører, etterretningsgrupper og forbindelser til det egne nettverket ditt hjelper deg med å avverge angrep ved å sette i gang sikkerhetsaktiviteter for å stoppe ondsinnet oppførsel og unngå hendelser.

Vi tror at automatisering av trusseletterretning er et aspekt av cybersikkerhet, som de nettverksansvarlige ikke har råd til å ignorere. Rollen deres i nettverksforsvar er nå bevist, og trusseldatae som samles inn har en ubestridelig verdi for organisasjoner. Den gir faktisk beslutningstakerne et pålitelig grunnlag for å bekrefte fordelene og konsekvensene av beslutningene deres.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

Nøkkelen er å være proaktiv

Sanntid feeds kombinerer intelligens og tidligere erfaring fra andre organisasjoner i en enkelt kilde som gir teamet ditt kontekstuell informasjon for å ta bedre informerte strategiske valg og dermed redusere angrep.

Imidlertid kan prosessen av å identifisere en trussel innen store mengder samlet informasjon, være som å finne en nål i en høystakk. Du kan komme over problemstillinger som :

  • Hva ser jeg etter?
  • Hvordan kan jeg skille mellom normal og ondsinnet aktivitet som kan signalisere et angrep?

Årsaken til at noen betrakter integrasjon av SIEM og TI som et tobladet sverd, ligger i mangel i kalibrering. I LogPoint tror vi at det ikke er volumet av informasjonen, men den rette implementeringen som fører til resultater.

Selv om løpende analyser av en bedrifts loggdata alene er verdifullt, er neste generasjons beskyttelse mot avanserte trusler kun mulig ved å sammenligne den interne dataen med de relevante indikatorene for kompromiss. Ved å optimalisere den interne dataen med truslene som sektoren din er mest eksponert for, skaper LogPoint SIEM integrert sammen med TI feeds, en høyt fokusert løsning for å få mest mulig innsikt til i en bedrifts loggdata for maksimal effektivitet.

Integrering av SIEM og trusseletterretning gir kunder enda raskere korrelasjon og styring av trusler for å forbedre evnen deres til å overvåke, administrere og avhjelpe cybertrusler. Ved å utnytte LogPoints arkitektur kan organisasjoner dra nytte av en akselerert evne til å korrelere flere trussel indikatorer generert i omkretsen med eksterne trussel-IOC.

Vi lar ikke bare sikkerhetsteamet ditt være proaktivt når det gjelder å forsvare dine kritiske eiendeler, men hjelper deg også med å oppnå full situasjonsbevissthet slik at du alltid vil vite:

  • Når du har blitt angrepet?
  • Er det et nytt potensielt angrep på vei?
  • Hvem er målet i organisasjonen din? Hvorfor?
  • Hvilke sårbarheter angriperne planlegger å utnytte?

Trusseletterretning drevet av LogPoint SIEM

LogPoint SIEM trusseletterretning applikasjonen tilbyr en enkel, effektiv og avansert trusseletterretning plattform for å identifisere nye trusler i infrastrukturen din, integrert med mer enn 100 trusseletterretning feeds. Ved utnyttelse av LogPoints enkle taksonomi, konverteres dataene til et “vanlig språk”-format, og deretter sammenligner LogPoint det med loggdataene dine.

Med dette kan analytikere automatisere avhør med hendelser, screene hundretusenvis av indikasjoner på kompromiss for å evaluere dataene basert på kjente angrep. Effektiviteten av organisatorisk infrastruktur beskyttelse er avhengig av kunnskap om de karakteristiske teknikkene til en trussel, for å kunne identifisere og samle inn data om angrepsmetodikken eller annet bevis på kompromiss.

Med LogPoint skjer delingen av denne informasjonen på en unik, nær sanntids hastighet. Å skaffe analysen av nyttig informasjon som gjør det mulig å motvirke trusler er alltid en mer kompleks utfordring, med tanke på den permanente utviklingen av risiko og angrepsmetoder. LogPoint viser ikke bare hundretusener av indikasjoner på kompromiss for å varsle deg om kjente angrep, men ber også proaktivt om handling, for eksempel å blokkere kjente IP-adresser som er dårlige, hvis det varsles om en potensiell trussel.

En fleksibel plattform som passer organisasjonens behov

Trusseletterretning automatisering i LogPoint gir muligheten til å generere varsler uavhengig av datastruktur, taksonomi og semantikk. Med LogPoint SIEM trusseletterretning kan du dra nytte av et bredt utvalg av kommersielle, fellesskapsdrevne og open source topp trusseletterretning verktøy, eller feeds, for eksempel Emerging Threats eller Critical Stack, og STIX/TAXII-kompatible leverandører. Vi støtter også csv-format for trusseletterretning feeds. Ved dette kan du få sanntid, kryssplattform innsikt i potensielle trusler, slik at sikkerhetsteamet ditt effektivt kan eliminere falske positive og fokusere på å avdekke avanserte trusler. Enda bedre, hvis du savner noe, kan det spesialbygges.

Hvordan gjør vi det?

LogPoint trusseletterretning indikator widget

Utfordring

Identifisere trussel indikatorer, mens du arbeider med store volumer av logger.

Løsning

Analytikere kan bruke spørsmål med generiske kommandoer for trusseletterretning for å kun filtrere ut kritiske trussel indikatorer. I LogPoint kan filtrering være generisk, noe som gir deg alle treff i databasen på trusseletterretning eller basert på en viss trusselkategori eller trusselscore. Med denne tilnærmingen gjør vi analytikerne dine i stand til å forenkle etterforskningsprosessen og fokusere på den faktiske trusler i cyber trusseletterretning dashbordet.

Spørreeksempel:
source_address IN HOMENET | process ti(destination_address) | chart count() as cnt by cs_score, source_address order by cnt desc

LogPoint trusseletterretning indikator widget
LogPoint trusseletterretning geografisk distribusjon widget

Utfordring

Problemstillinger med å definere korrekt cybersikkerhet risiko holdning.

Løsning

Basert på den unike taksonomien for trussel indikator score, kan analytikere dra nytte av helautomatiske hendelsesrespons mekanismer ved hjelp av spørsmål for numerisk sammenligning. Videre kan de forstå den geografiske fordelingen av angrepskildene.

Alarmspørsmål kan defineres basert på scores for trussel indikatorer, risiko verdier/funksjoner og basert på opprinnelseslandet til hver av disse varslene. Med denne trusseletterretning automatiseringen, gir vi sikkerhetsteamet ditt mulighet til å ta bedre informerte strategiske valg som fører til mer effektiv respons og utbedring enn noensinne.

Spørreeksempel:
norm_id=* | prosess ti(destination_address) | search cs_score>80 | prosess geoip(destination_address) as country | chart count() by country() order by count() desc

LogPoint trusseletterretning berikelse widget

Utfordring

Historisk analyse er ikke mulig.

Løsning

Ved å bruke både statisk og dynamisk anrikning kan analytikere dra nytte av et unikt sett med muligheter og utnytte trusseletterretning i LogPoint.

Ved å statisk berike enhver trussel indikator (ip-adresse eller domenenavn) kan analytikerne dine få øyeblikkelig oversikt over potensielle risikoer. I LogPoint SIEM trusseletterretning blir risiko alltid forklart med en rekke berikede nøkkelverdi par, som kategori og risikoscore. Disse nøkkelverdi parene vil deretter indekseres og lagres på diskene til de blir fjernet av oppbevaring retningslinjene.

Trusselkilder kan ikke alltid oppdages i nærheten av sanntid, noe som fører til at alvorlige angrep ikke blir oppdaget. For å unngå lignende scenarier, gjør dynamisk anrikning i LogPoint det mulig for analytikere å undersøke angrep og dermed avdekke indikatorer som er vanskelig å få øye på, i retrospektiv.

Spørreeksempel:
Statisk: Uten bruk av kommandoen “prosess ti()” command
norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address

Dynamisk: Bruk kommandoen “prosess ti()”
norm_id=* | prosess ti(destination_address)

LogPoint trusseletterretning berikelse widget

+ 1 STIX/TAXII støtte

STIX/TAXII bruker RESTful API med en spesiell definisjon av tjenester og meldinger for datautveksling. LogPoint bruker STIX 1.x feed i JSON-format ved å sende API-forespørsler til STIX/TAXII-serveren.

Nødvendige parametere:

  • url: fullstendig vertsnavn for feed serveren
  • brukernavn: identifikasjon for tilgang til feeden
  • passord: passord for autentisering
  • hente intervall: tidsintervall hvor ny feed hentes
  • aldersgrense: tidsintervall feedet beholdes for

Når LogPoint bruker trussel feeds, analyseres den i henhold til standard LogPoint SIEM trusseletterretning taksonomi, noe som resulterer i et problemfritt og rask oppsett.

Den beste delen?

LogPoint trusseletterretning applikasjon er et gratis plugin som følger med en LogPoint-lisens. Nedlastingen er tilgjengelig fra Hjelpesenter.