Topp 10 SIEM användningsfall att genomföra

Med den växande efterfrågan på SIEM-lösningar så vill företag ha svar på flera olika säkerhets- och affärsutmaningar som dyker upp under deras dagliga verksamhet.

Detta är de 10 bästa SIEM-användningsfall och beteenden som LogPoint kan upptäcka i din infrastruktur. Om du vill ha mer information om något av dessa användningsfall eller har några användningsfall som du tycker är särskilt relevanta, kontakta oss. Vi ser fram emot att höra från dig!

01 Autentiseringsaktiviteter

Autentiseringsaktiviteter med extra kontext, till exempel inloggningar i kritiska system och misslyckade inloggningsförsök som är större än given tröskel.

LogPoint SIEM Topp 10 framgångsrika inloggningar

Lyckade inloggningar

norm_id=* label=User label=Login label=Successful -user=*$ host IN CRITICAL_SYSTEM | chart count() by host, user order by count() desc limit 10

LogPoint SIEM Topp 10 framgångsrika inloggningar
LogPoint SIEM Misslyckade inloggningar över tröskeln

Misslyckade inloggningar över ett specificerat tröskelvärde

norm_id=* label=User label=Login label=Fail -user=*$ user=* | chart count() as "Count" by user order by "Count" desc limit 10 | search "Count">50

02 Kontohantering

Övervakning skapande, radering och andra aktiviteter för användarkonto gällande övervakning av resurs- och systemåtkomstbehörighet.

LogPoint SIEM Skapa användarkonto

Skapande av användarkonto

norm_id=WinServer* label=User label=Account label=Management label=Create -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM Skapa användarkonto
LogPoint SIEM Radering av användarkonto

Borttagning av användarkonto

norm_id=WinServer* label=User label=Account label=Management (label=Delete OR label=Remove) -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM Användarkonto aktiverat

Användarkonto aktiverat

norm_id=WinServer* label=User label=Account label=Management label=Enable -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10

LogPoint SIEM Användarkonto aktiverat

03 Anslutningsaktiviteter

Övervakning av anslutningsaktiviteter som ett led i att få en överblick över nätverksanslutningarna efter status, ursprung och riktning. Detta definierar om anslutningar tillåts/nekas, värdnamnet, källans inklusive mål och riktning.

LogPoint SIEM Topp 10 tillåtna inkommande anslutningar efter plats

Tillåtna inkommande anslutningar efter plats

label=Connection label=Allow -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Topp 10 tillåtna utgående anslutningar efter plats

Tillåten utgående anslutning efter plats

label=Connection label=Allow source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Topp 10 tillåtna utgående anslutningar efter plats
LogPoint SIEM Topp 10 nekade inkommande anslutningar efter plats

Nekad inkommande anslutningar efter plats

label=Connection label=Deny -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Topp 10 nekade utgående anslutning efter plats

Nekas utgående anslutningar efter plats

label=Connection label=Deny source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10

LogPoint SIEM Topp 10 nekade utgående anslutning efter plats
LogPoint SIEM Topp 10 Intern avvisad intern anslutning efter IP

Nekade interna anslutningar av IP/värdnamn

norm_id=* label=Connection label=Deny source_address=* destination_address=* source_address in HOMENET destination_address in HOMENET | chart count() by source_address, destination_address order by count() desc limit 10

04 Policy relaterad verksamhet

Övervakning och upptäckt av ändringar i policy såsom revision, autentisering, auktorisering, filtrering och många fler.

LogPoint SIEM Föråldrade användarlösenord

Föråldrade användarlösenord

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>30

LogPoint SIEM Föråldrade användarlösenord
LogPoint SIEM Användarautentisering från flera källor

Användarautentisering från flera källor

norm_id=* label=User (label=Login OR label=Authenctication) source_address=* -user=*$ user=* | chart distinct_count(source_address) as UniqueSource by user order by UniqueSource desc limit 10 | search UniqueSource>1

05 Hot, skadlig kod och sårbarhetsidentifiering

Aktiviteter relaterade till hot, såsom indikatorer på kompromisser, skadeprogram-infektioner och identifiering av utsatta system.

LogPoint-identifiering av hotaktörer-widgeten

Identifiering av hotindikatorer

norm_id=* source_address=* -source_address in HOMENET | process ti(source_address) | rename et_category as category,cs_category as category, et_score as score,cs_score as score| chart count() by source_address, category, score order by score desc limit 10

LogPoint-identifiering av hotaktörer-widgeten
LogPoint SIEM Identifiering av sårbara källor

Identifiering av sårbara källor

(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) severity=4 or severity=5 source_address=* | rename title as vulnerability |chart count() by source_address, vulnerability order by count() desc

LogPoint SIEM Misslyckad rensning av skadlig programvara

Misslyckad rensning av skadlig programvara

norm_id=* label=Malware label=Clean label=Fail malware=* | chart count() by host, malware order by count() desc limit 10

LogPoint SIEM Misslyckad rensning av skadlig programvara

06 Operativa insikter

Aktiviteter som rör övervakning av dagliga operativa aktiviteter, till exempel inkommande och utgående dataanvändning eller dataanvändning av specifika program.

LogPoint SIEM innkommande databruk

Inkommande dataanvändning

norm_id=* source_address=* -source_address in HOMENET destination_address IN HOMENET received_datasize=* -source_address=176.161*| timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum(received_datasize/1000/1000) as ReceivedMB

LogPoint SIEM Utgående databruk

Utgående dataanvändning

norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB

LogPoint SIEM Utgående databruk
LogPoint SIEM databruk av applikation

Dataanvändning efter applikation

norm_id=* (label=Connection OR label=Traffic) application=* sent_datasize=* received_datasize=* | chart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB by application order by TotalMB desc

07 Avvikande beteende

Entitetsbaserade profiler vilka använder sig av ML-tekniker för att identifiera skadligt beteende såsom mellanlagring av data, infekterad värd eller missbruk av konto.

LogPoint SIEM Lateral rörelse

Lateral rörelse och data exfiltration

Med LogPoint UEBA kan lateral rörelse enkelt upptäckas så att du ska kunna omgående initiera adekvata åtgärder för att begränsa icke-auktoriserad användning av din miljö. Få realtidsvarningar gällande otillåten dataöverföring inom ditt nätverk, oavsett om överföringen är av manuell eller automatiserad karaktär.

LogPoint SIEM Lateral rörelse

08 Varning och incidentrespons

Eventuella misstänkta situationer som vid positivt utfall utlöser varningar och därefter incidenthanteringsprocessen.

LogPoint SIEM Underlätta mekanismen gällande incidentrespons

Underlätta mekanismen gällande incidentrespons

LogPoints Incident Response-integrationer erbjuder automatiserade arbetsflöden för olika former av affärssammanhang, hot relaterad information samt korrelation av loggdata i kombination med nätverksdata för att samla bevis, åtgärda och besvara incidenter på ett effektivt sätt.

09 Regelefterlevnad, reglering och revision

Krav på regelefterlevnad och revision såsom ISO27001, GDPR, PCI DSS,HIPAA och många fler.

LogPoint SIEM FIM Övervakning av filintegritet för PCI DSS

Övervakning av filintegritet

norm_id=IntegrityScanner label=Change (label=File or label=Registry) | rename registry as object, file as object | chart count() by log_ts, host, action, object, prev_hash, hash order by count() desc limit 10

LogPoint SIEM FIM Övervakning av filintegritet för PCI DSS

10 Advanced korrelation och anrikning

Join som åtföljs av frågor, utvidgas med matematiska operationer och aggregeringar för korrelationsbaserad avancerad analys.

LogPoint SIEM Korrelation mellan flera datakällor

Korrelation mellan flera datakällor

[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent | chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

LogPoint SIEM Potential Brute tvingat försök

Potentiellt brute force-försök

10 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc

LogPoint SIEM Potential Brute tvingat försök
LogPoint SIEM ofullständig session

Ofullständiga sessioner

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | fields log_ts, user

LogPoint SIEM Genomsnittlig sessionslängd för genomförda sessioner

Genomsnittlig sessionsvaraktighet för slutförda sessioner

[ label=Login label=Successful] as s1 join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | rename s1.user as user | chart avg(s2.log_ts-s1.log_ts) as duration by user order by duration desc

LogPoint SIEM Genomsnittlig sessionslängd för genomförda sessioner
LogPoint SIEM ofullständig sessionslängd

Ofullständig sessionslängd

[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc