Det är enkelt att integrera hotinformationskällor med LogPoint för att hjälpa din organisation att förstå sina sårbarheter och prioritera hot. Det finns ett flertal kostnadsfria och betalda plattformar för hotinformation och feeds som du kan använda, varav en är MISP. MISP är en plattform byggd på öppen källkod som samlar in, delar och korrelerar hotinformation som sårbarheter, indikatorer på intrång från riktade attacker och ekonomiska bedrägerier. Du kan integrera hotplattformar och feeds – såsom MISP – som en källa i LogPoint Threat Intelligence-applikationen för att hämta och analysera loggarna. Analytiker kan använda den insamlade informationen för att förutsäga dataintrång, sårbarhet för attacker och eventuella tecken på förplanerade attacker eller hot mot sina resurser.

Följ guiden nedan för att lära dig hur enkelt det är att komma igång med hotanalys med MISP-feeds som exempel.

Hämta Threat Intelligence-applikationen

Gå till LogPoints hjälpcenter för att ladda ned Threat Intelligence-applikationen.

När du har laddat ned och installerat applikationen kan du hantera det på Plugin-sidan.

Threat Intelligence plugin

Du kan se alla dina integrationer på Plugin-sidan.

Konfigurera Threat Intelligence-plattformen

Välj MISP på Threat Intelligence Management-panelen. Alternativet Enable Source är aktiverat som standard.

Välj alternativet Enable Proxy för att ansluta MISP-källan via en proxyserver. Ange proxyserverns IP-adress och portnummer och välj HTTP- eller HTTPS-protokoll efter behov. Klicka sedan på Submit (Skicka).

Threat Intelligence management in SIEM

I Management-panelen ser du alla dina anslutna Threat Intelligence-feeds.

Söka efter Threat Intelligence-resultat

Efter konfiguration kan du söka efter MISP-loggar i Threat Intelligence-tabellen.

Ange följande söksträng för att söka efter loggarna:

Table "threat_intelligence" threat_source=misp

MISP Threat Intelligence query

Du kan söka efter loggar från specifika källor.

Berika loggar med Threat Intelligence

Följande exempel visar hur en Threat Intelligence-feed som MISP berikar dina loggar med kontextuell information för att omvandla rådata till meningsfulla insikter. Kontextuell information från feeds hjälper analytiker att filtrera bort betydelselös information och prioritera högriskhot.

Om loggarna inte berikas blir det svårt för analytiker att veta hur de ska prioritera eventuella hot.

MISP Threat Intelligence log

Ett exempel på en logg från Threat Intelligence-applikationen utan berikade data.

Berikning lägger till kontextuell information i loggen, vilket ger analytikerna mer information för underlätta undersökningen. En Threat Intelligence-feed ger analytiker information om typen av hot och rankning, så att analytiker bättre kan utvärdera hotets allvarlighetsgrad.

MISP Threat Intelligence log enrichment

LogPoint visar berikade loggdata med röd text.

Få en översikt över all hotinformation

LogPoints Threat Intelligence-applikation levereras med ett färdigpaketerat Threat Intel Analytics-paket som innehåller allmänna leverantörsvarningar, regler och dashboards för hotanalys. En översikt hjälper analytiker identifiera de mest allvarliga hoten och veta var de ska fokusera sina resurser.

Aviseringar

LogPoint tillhandahåller följande aviseringspaket som sammanställer en mängd olika feeds i en och samma databas för smidig analys.

  • Threat intel connections with suspicious domains – Domäner som Intel Feeds klassar som misstänkta finns integrerade i LogPoint
  • Threat intel internal machine connecting to multiple IOCs – En intern maskin ansluter till ett antal misstänkta resurser på webben, såsom internetleverantörer, URL:er eller specifika resurser som exempelvis filer lagrade på populära webbtjänster
  • Threat intel excessive denied connections attempt from IOC – Skickar en avisering när Threat Intel-feeden detekterar flera avvisade anslutningsförsök
  • Threat intel allowed connections from suspicious sources – Skickar en avisering när Threat Intel-feeden detekterar flera tillåtna anslutningsförsök
  • Threat intel IOC connecting to multiple internal machines – Skickar en avisering om Threat Intel-feeden flaggar ett objekt som misstänkt

Dashboards

Analytiker kan få en översikt över all integrerad hotinformation med följande dashboard-widgetar.

  • Topp 10 inkommande attackvarningar per land
  • Topp 10 utgående attackvarningar per land
  • Topp 10 kategorier per domän
  • Score time trend
  • Topp 10 observerade IOC-kategorier
  • Interna adresser associerade med IOC
  • Användare associerade med IOK
  • Distribution av observerade IOC
  • Interna adresser som kommunicerar med TI-matchningar
  • Antal interna destinationer
Threat Intelligence SIEM dashboard
Threat Intelligence SIEM dashboard

Dashboard-widgetar ger analytiker en översikt över hot.

Vill du veta mer?

Om du har ytterligare frågor om integrering av Threat Intelligence med LogPoint ska du kontakta LogPoint.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews