Toppanvändningsfall för säkerhet operationer

Top Use Cases

I dagens globaliserade digitala ekonomi är det viktigt att övervaka och skydda ditt företags data mot avancerade cyberhot. Detta blir allt mer komplicerat på grund av för många verktyg, brist på säkerhetskunskaper och trötthet på larm. Dagens moderna SIEM-lösningar gör att ditt företag kan reagera snabbt och exakt i händelse av ett hot eller dataläcka.

En modern SIEM-lösning tillhandahåller hantering, integration, korrelation och analys på ett ställe, vilket gör det lättare att övervaka och felsöka din IT-infrastruktur i realtid från ett enda gränssnitt. För din användning har vi skapat ett brett utbud av användningsfall med tillhörande Logpoint-exempel för att hjälpa dig att bättre planera din försvarsstrategi.

Identifiering av skadliga insiderhot

När det gäller skydd av känsliga tillgångar så tenderar många att endast fokusera på försvar mot externa attacker såsom skadlig kod, dataintrång och dylikt. I verkligheten utgör illvilliga aktörer på insidan samma höga risk mot din infrastruktur såsom utomstående angripare.

Visste du att 53% av organisationerna bekräftade att de hade fallit offer för en attack på insidan under de senaste 12 månaderna varav 27% av organisationerna säger att attacker från insida blivit allt mer vanligare? (Källa: Cybersecurity Insiders: 2019 Insider Threat Report)
Det breda utbudet av användningsfall som ingår i LogPoint UEBA stöder både upptäckt av attacker som utförs men även möjligheten att effektivare och snabbare identifiera potentiella angripare från insidan samtidigt som de ökar de ansvariga totala effektivitet.

Minska användarbaserade hot mot privilegierade filer med File Integrity Monitoring

LogPoints FIM-program övervakar alla slags åtkomstförsök till privilegierade filresurssystem samtidigt som den erbjuder information om typen av åtkomst inklusive de åtgärder som utförs i filen. Dessutom kan originalet och den ändrade kontrollsumman också jämföras med att bättre förstå åtkomstbeteenden.

SIEM-användningsfall File Integrity Monitoring Screen K

Loggkällor: FIM

Upptäcka lateral rörelse

LogPoint UEBA använder en blandning av slutpunkt, Active Directory och databas för att söka efter misstänkta beteenden som avviker från baslinjen.

Dessa inkluderar:

● Inloggning misslyckade försök på inaktiverade konton
● Ovanlig aktivitet under en viss dag eller tid på dagen
● Ovanlig åtkomst till servrar, filresurser, applikationer eller andra resurser
● Ovanligt stor tillgång till vissa resurser
● Onormal användning av applikationer och lagringsmönster

Exempel: Misslyckade inloggningsförsök på inaktiverade konton

Inloggningen misslyckades med försök på inaktiverade konton

Loggkällor: Windows Server, UEBA

Fråga
label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()

Upptäcka mellanlagring av Data och exfiltration

Komprometterade konton eller maskiner försöker vanligtvis flytta data till mellanlagringsplatser där de lätt kan laddas ner från organisationens nätverk. Medan du förbereder data för borttagning så kommer angripare utnyttja verktyg såsom PSExec eller fjärrskrivbord för att komma åt data som du planerar att radera. I det här fallet kommer UEBA upptäcka och markera avvikande mellanlagring och laterala rörelser inklusive (den mycket ovanliga) volymen av dataöverföringar, ovanliga protokoll/port kombinationer och ovanligt höga mängder av dataåtkomst.

Exempel: Ovanlig stor mängd av utgående dataöverföring

LogPoint SIEM use cases: Hög utgående dataöverföring

Loggkällor: Firewall, Proxy

Fråga
sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as OutboundData | search OutboundData>10

Utgående dataöverföring efter källor

LogPoint SIEM use cases: Utgående dataöverföring per källa

Loggkällor: Firewall, Proxy

Fråga
source_address IN HOMENET -destination_address IN HOMENET sent_datasize=* | chart sum(sent_datasize/1000/1000) as OutboundData by source_address order by OutboundData desc

Kompromiss av privilegierade konton

LogPoint UEBA är utformad för att identifiera privilegierade konton och använder maskininlärning för att anamma adekvata åtgärder. LogPoints UEBA övervakar kontinuerligt privilegierade konton för att spåra och poängsätta aktivitetstid, autentisering, åtkomst, programanvändning och förflyttning av data. LogPoint UEBA tilldelar sedan ett riskpoäng till alla konton som avviker från baslinjen och vid avvikande så ökar riskpoängen i paritet med avvikelsen i fråga. Under tiden visualiserar LogPoint UEBA-analys kontots aktivitet och varnar de ansvariga samt föreslår validering av incidenten för att på så sätt kunna inrätta adekvata åtgärder.

Exempel: Trend med misslyckade autentiseringsförsök

SIEM use cases: Trend för misslyckade autentiseringsförsök

Log sources: Windows Server

Loggkällor
label=Authentication label=Fail | timechart count()

Avslöja IoCs

System som identifieras att vara involverade i onormala beteenden kan enkelt berikas med Threat Intelligence-flöden för att på så sätt identifiera tillhörande indikatorer på kompromiss. Dessutom förser LogPoint dig med den exakta geografiska platsen för attackens källa.

Exempel: Indikatorer för kompromiss genom geolokalisering

LogPoint SIEM use cases: Indikatorer på kompromiss genom geolokalisering

Loggkällor: Firewall, Proxy, Threat Intelligence

Fråga
risk_score=* -source_address in HOMENET 
| process ti(source_address)
|search et_ip_address=* OR cs_ip_address=*
|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress 
| process geoip(SourceAddress) as country 
| chart count() by country, source_address order by count() desc limit 10