Hot, Sabotageprogram och Detektering av Sårbarhet

Avancerade cyberhot är idag extremt sofistikerade och fokuserar ofta på en viss bransch, sektor eller geografiskt område men även enskilda organisationer. Standardiserade antisabotage-applikationer misslyckas ofta med att blockera och förhindra dessa attacker. Detta eftersom många av dessa måste bemötas med kraftfulla verktyg i form av SIEM kombinerat med Threat Intelligence och beteendeanalys. Tänkt på att cyberbrottslingar behöver endast hitta en enda sårbarhet för att kunna utföra en attack. Just därför så är det av yttersta vikt att arbeta proaktivt om man ska kunna med framgång förhindra olika former av dataläckage.

Identifiera hotindikatorer medan du arbetar med stora loggvolymer

Analytiker har möjligheten att använda sig av flera anrop med hjälp av standardiserade kommandon för hotintelligens för att endast filtrera ut kritiska hotindikatorer. I LogPoint kan filtrering vara av en generisk karaktär, vilket ger dig möjligheten att filtrera ut endast de kritiska hotindikationerna baserad på en specifik kategori eller poäng. Med det beskrivna tillvägagångssättet så har vi gjort de möjligt för analytiker att förenkla undersökningsprocessen och fokusera på de faktiska hoten.

Exempel

Hotindikatorer efter kategorier

LogPoint SIEM kundcase: Hot i system med högre privilegier

Loggkällor: Brandvägg, Proxy, Threat Intelligence

Fråga

| process ti(source_address)|search et_ip_address=* | rename et_category as category | chart count() by ip_address, category order by count() desc

Definiera en adekvat hållning gällande cybersäkerhet

Baserat på LogPoints unika taxonomi för hotindikatorpoäng så har analytiker möjligheten att dra nytta av helt automatiserade svarsmekanismer när det kommer till respons för olika typer av incidenter med anrop för numerisk jämförelse. Vidare kan de förstå sig på den geografiska fördelningen av attackkällorna. Aviseringsanrop kan definieras baserat på hotindikatorpoäng, riskvärden/funktioner och även baseras på ursprungslandet för var och en av dessa aviseringar. Genom att möjliggöra detta så kan ditt säkerhetsteam enklare och snabbare driva igenom strategiska beslut vilka i slutända leder till en effektiverare incidentrespons och -sanering.

Loggkällor: Brandvägg, Proxy, Threat Intelligence, Dynamisk lista

Historisk analys

I LogPoint Threat Intelligence så definieras risken alltid av ett antal berikade nyckel-värde-par såsom kategori och riskpoäng. Dessa nyckel-värde-par kommer sedan indexeras och lagras på diskarna tills de anses överflödiga och rensas med stöd av bevarandeprinciper. Hotkällor kan inte alltid upptäckas i realtid vilket leder till att allvarliga attacker riskerar att gå oupptäckta. För att undvika liknande scenarier så möjliggör det dynamiska angreppssättet i LogPoint analytikerna att retroaktivt undersöka attacker och således avslöja svårupptäckta indikatorer.
Samma tillvägagångssätt kan åtföljas av en dynamisk lista, där analytiker kan skapa en dynamisk lista för extremt riskfyllda IOCs och uppdatera listan för varje ny matchning till en hotindikator från Threat Intelligence databasen. På så sätt kan den dynamiska listan användas som en svart lista över IOCs och kontrolleras mot historiska loggar, för att identifiera om något missats av Threat Intelligence tidigare.

Exempel

Kritiska hotenheter läggs till i den dynamiska listan

LogPoint SIEM use cases: Critical threat entities appended to dynamic list

Loggkällor: Brandvägg, Proxy, Dynamisk Lista

Fråga

ip_address=* score>90 | process toList(IOCS,ip_address)

Enheter som observerats i listan över hotindikatorer

LogPoint SIEM use cases: Entities observed in list of threat indicators

Loggkällor: Brandvägg, Proxy, Dynamisk Lista

Fråga

source_address IN IOCS | chart count() by source_address order by count() desc

Avancerad analyskorrelation och mönsterigenkänning

Som standard kan LogPoint utföra avancerad korrelation av ett valfritt antal datakällor – internt, externt eller strukturerat. Oavsett om det handlar om något så enkelt som aggregering mellan två eller flera grupper av entiteter såsom användare och initieringdadress för misslyckade inloggningar eller kombinerade poster i flera loggmeddelanden utspridda över flera datakällor med joina som åtföljs av frågor, så kommer vi att förse dig med realtidsvarningar om riskfyllt beteende inklusive avvikande aktiviteter.
I LogPoint kan dynamiska listor också användas för att utföra avancerade korrelationer på ett antal olika sätt, såsom att skapa en dynamisk lista med IP-adresser eller värdnamn för sårbara arbetsstationer för att identifiera eventuell utnyttjande av sårbarheten av en hotkälla.
Effektiv logganalys kräver utvinning av dold information med hjälp av en kraftfull kombination av flera dataanalysfunktioner. Vi har duktiga medarbetare inom ERP, databaser och HR-system vilket möjliggör insamling av data från alla delar runt om i nätverket inkluderat säkerhetsenheter, servrar och applikationer. Analytics stöds sedan av vårt kraftfulla inbyggda anropsspråk, hotintelligens, anrikning samt andra avancerade matematiska funktioner och processkommandon.

Exempel

Ej förbrukade sessioner

LogPoint SIEM use cases: Unexpired session durations Screen K

Loggkällor: Windows Server, någon annan källa

Fråga

[label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc

Övervakning av föråldrade lösenord

I varje specifik organisation, oavsett storlek så är det viktigt att övervaka huruvida det förekommer några föråldrade lösenord. För att uppnå detta förbrukar LogPoint LDAP-poster från din(a) katalogserver eller Domänkontrollanter. LogPoint-anrop, med kraftfulla matematiska funktioner, kan användas för att analysera lösenordets senaste inställda attribut som sedan kan användas för att identifiera det exakta antalet dagar när lösenordet senast återställdes. För att ge ett exempel används i följande fråga en LDAP-tabell för att kontrollera huruvida det förekommer lösenord som är äldre än 365 dagar.

Exempel

Användare av föråldrade lösenord

LogPoint SIEM use cases: Password ageing users

Loggkällor: LDAP

Fråga

Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Upptäck försök till brute force attack

Som alla system med en X-mängd misslyckade försök innan en lyckad inloggning sker antyder om försök till en eventuell brute force attack. Just därför så är adekvat kontroll av misslyckade inloggningar utav största vikt. I LogPoint kan du använda följande fråga som ett enkelt medel för att söka efter 100 misslyckade inloggningsförsök innan en lyckad inloggning sker.

Exempel

Potentiella försök till brute force attack

LogPoint SIEM use cases: Potential brute-force attack attempts

Loggkällor: Windows Server, Autentiseringskällor

Fråga

[20 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc