Topp 10
användningsfall för implementering
av SIEM

logpoint Top 10 SIEM use cases to implement

LogPoint är en SIEM-lösning (Security Information and Event Management) som samlar in, lagrar och analyserar loggdata från hela IT-infrastrukturen för att identifiera misstänkta aktiviteter och reagera på hot. Även om SIEM-verktyg främst används för säkerhetsändamål finns det flera andra användningsfall som varje organisation bör känna till, t.ex. automatiserad efterlevnadskontroll, övervakning av driftprestanda och logghantering.

Logpoint Use Cases

Ladda ner LogPoint Use Cases
whitepaper för mer information

Hämta whitepaper

01Identifiering av komprometterade användaruppgifter

Säkerställ att det finns ett användningsfall och arbetsflöde på plats för att identifiera eventuella försök att kompromettera användaruppgifter genom Brute Force, Pass the Hash, Golden Ticket eller andra metoder. Vid ett lyckat intrång är det avgörande att identifiera de användare och enheter som påverkas för att undersöka påverkan och förhindra ytterligare skador.

Detecting compromised user credentials
[label=User label=Login label=Successful logon_type=9 package=Negotiate logon_process=seclogo] as s1 followed by [norm_id=WindowsSysmon label="Process" label=Access image="*\lsass.exe" access="0x1010"] as s2 within 5 second on s1.host=s2.host
| rename s1.host as host, s1.user as user, s1.targetoutboundusername as target_user, s2.process as "process"
| chart count() by user, target_user

02Spårning av systemändringar

Sätt upp lämpliga regler för flaggning av kritiska händelser, t.ex. obehörig ändring av konfigurationer eller borttagning av verifieringskedjor. Dessa ändringar bör eskaleras omedelbart för att stoppa skadeverkan och minimera ytterligare risker eftersom manipulering av verifieringsloggar alltid är ett varningstecken..

Tracking system changes
label=Log label=Clear 
| chart count() by log_ts, host, user, target_channel

03 Identifiering av avvikande beteenden på privilegierade konton

Privilegierade användare som system- eller databasadministratörer har utökade åtkomsträttigheter vilket gör dem till attraktiva mål för hackare. Med en SIEM-lösning kan analytiker hålla ett öga på alla åtgärder som dessa privilegierade användare utför och söka efter avvikande beteenden som kan tyda på hot eller intrång.

RDP login to a domain controller

RDP-inloggning till en domänkontrollant följt av RDP-inloggning till en annan arbetsstation

[norm_id=WinServer label=User label=Login label=Remote host IN WINDOWS_DC user IN ADMINS] as s1 followed by [norm_id=WinServer label=User label=Login label=Remote -host IN WINDOWS_DC] as s2 within 10 minute on s1.user=s2.user 
| rename s1.host as domain_controller, s2.host as host, s1.user as user, s1.domain as domain
| chart count() by domain_controller, host, user, domain

04Säkra molnbaserade applikationer

Molnbaserade system bjuder på många fördelar men medför samtidigt flera utmaningar: uppfyllelse av nya efterlevnadskrav, förbättring av användarövervakning och åtkomstkontroll eller förberedelse för eventuella malware-attacker eller dataintrång. Ett SIEM-system bör stödja molnbaserade applikationer som loggkällor – t.ex. Salesforce, Office365 eller AWS – för att utöka övervakningen av efterlevnad och hotdetektion till molnet.

4.	Secure cloud-based applications
norm_id IN CLOUD_APPLICATIONS | chart count() by norm_id

05Identifiering av nätfiske

Nätfiske (s.k. phishing) är ett försök att få tag på känslig information som används vid bedrägerier och ID-kapning. Detta omfattar försök att få tag i personuppgifter såsom personnummer, bankkontonummer eller PIN-koder och lösenord. Det är mycket viktigt att säkerställa att dessa datatyper skyddas inom hela organisationen. Nätfiske och i synnerhet s.k. spear phishing används ofta för att få initial åtkomst till ett nätverk. Vid mottagning av nätfiskemeddelanden kan analytiker använda SIEM för att spåra vem som tagit emot dem, klickat på länkar i dem eller svarat på dem vilket gör att de kan vidta omedelbara åtgärder för att minimera skadorna.

Phishing detection

Söka efter de mest klickade allmänna ämnesraderna i e-postmeddelanden:

label=Email label=Receive subject IN ['Payroll Deduction Form', 'Please review the leave law requirements', 'Password Check Required Immediately', 'Required to read or complete: "COVID-19 Safety Policy"', 'COVID-19 Remote Work Policy Update', 'Vacation Policy Update', 'Scheduled Server Maintenance -- No Internet Access', 'Your team shared "COVID 19 Amendment and Emergency leave pay policy" with you via OneDrive', 'Official Quarantine Notice', 'COVID-19: Return To Work Guidelines and Requirements']
| chart count() by source_address, subject, sender, receiver, destination_host

06Övervakning av trafikbelastning och drift

Med ett SIEM-system som har finjusterats med lämpliga korreleringsregler och larm blir det möjligt att kontinuerligt övervaka datatrafikbelastning, drift och responstid på olika servrar och tjänster. Detta gör det möjligt upptäcka fel och överbelastning i ett tidigt skede för att förhindra driftstopp och därmed förknippande kostnader.

6.	Monitoring loads and uptimes
label=Memory label=Usage | timechart max(use) as memoryUsePercent every 1 hour

07Logghantering

Databaser, applikationer, användare och servrar genererar stora mängder loggdata. Ett SIEM-verktyg kan normalisera och centralisera insamlingen av loggdata. Detta möjliggör smidig analys och säkerhetskorrelering och gör det möjligt för IT-säkerhetsteamet att söka igenom data för att hitta specifika nyckelord eller värden.

Log Management
label=Access label=Object

08SIEM för efterlevnad av GDPR, HIPAA eller PCI

Organisationer måste följa ett stort antal efterlevnadsregler, såsom GDPR, HIPAA eller PCI. Med ett SIEM-system kan du dokumentera när och av vem data har använts, lästs eller kopierats för att uppfylla efterlevnadskraven och förhindra överträdelser.

SIEM for GDPR, HIPAA, or PCI compliance
label=File label=Modify | chart count() by log_ts, user, user_type, source_address, domain, file, application

09Threat Hunting

Processen att aktivt söka efter cyberrisker i en organisation eller ett nätverk kallas Threat Hunting. Threat Hunting kan utföras som respons till säkerhetsproblem eller för att upptäcka nya och okända attacker eller intrång. Threat Hunting kräver åtkomst till säkerhetsdata från alla platser i företaget, vilket en SIEM-lösning kan tillhandahålla.

Threat Hunting

Söka efter uppladdning av EXE-filer i misstänkta kataloger:

norm_id=WindowsSysmon event_id=11 file="*.exe" path IN ["C:\ProgramData*", "*\AppData\Local\*", "*\AppData\Roaming\*", "C:\Users\Public*"] -source_image IN ["*\Microsoft Visual Studio\Installer\*\BackgroundDownload.exe", "C:\Windows\system32\cleanmgr.exe", "*\Microsoft\Windows Defender\*\MsMpEng.exe", "C:\Windows\SysWOW64\OneDriveSetup.exe", "*\AppData\Local\Microsoft\OneDrive\*", "*\Microsoft\Windows Defender\platform\*\MpCmdRun.exe", "*\AppData\Local\Temp\mpam-*.exe"]
| chart count() by host, file, path, source_image

10SIEM för automatisering

SIEM automatiserar hotdetektionsaktiviteter och utgör grunden för automatiserad incidenthantering. Vidarebefordring av säkerhetslarm och incidenter till LogPoint SOAR möjliggör snabbare incidentrespons genom automatisering av manuella uppgifter, vilket resulterar i lägre säkerhetskostnader och ökad SOC-produktivitet. Hämta LogPoint SOAR med en kostnadsfri analytikerlicens nu (Link to get in touch interface) som en del av SIEM-licensen.

Playbook in LogPoint SOAR

Playbook in Logpoint SOAR

Testa fördelarna med LogPoints SIEM-,
UEBA- och SOAR-lösning

Testa fördelarna med LogPoints SIEM-,
UEBA- och SOAR-lösning

Boka en LogPoint-demo

Tusentals nöjda kunder. Miljontals skyddade enheter

Konica_Minolta
Captivate-Logo
Boeing-Logo
GoSecure Logo
Airbus-Logo