Toppanvändningsfall för säkerhet operationer

Top Use Cases

I dagens globaliserade digitala ekonomi är det viktigt att övervaka och skydda ditt företags data mot avancerade cyberhot. Detta blir allt mer komplicerat på grund av för många verktyg, brist på säkerhetskunskaper och trötthet på larm. Dagens moderna SIEM-lösningar gör att ditt företag kan reagera snabbt och exakt i händelse av ett hot eller dataläcka.

En modern SIEM-lösning tillhandahåller hantering, integration, korrelation och analys på ett ställe, vilket gör det lättare att övervaka och felsöka din IT-infrastruktur i realtid från ett enda gränssnitt. För din användning har vi skapat ett brett utbud av användningsfall med tillhörande Logpoint-exempel för att hjälpa dig att bättre planera din försvarsstrategi.

SOX-efterlevnad

SOX eller The Sarbanes-Oxley Act (SOX) antogs i USA under och kräver att alla börsnoterade verksamheter implementerar och bekräftar ett ramverk av interna kontroller vilka säkerställer ansvar och integritet vid den finansiella rapporteringsprocessen. I praktiken så innebär detta att man gör ett gediget försök att ”skydda aktieägare och allmänheten från bokföringsfel och bedrägliga aktivitet i diverse verksamheter samt för att förbättra riktigheten i organisationernas upplysningar.” (Källa: Digital Guardian: What is SOX Compliance? 2019 SOX Requirements & More, Juliana De Groot). Organisationer måste kunna presentera var känsliga data lagras, hur de lagras och vem som har tillgång till den. Att hålla reda på alla dina känsliga data samt säkerställa adekvat reglering när det kommer till ditt nätverk och system utgör hörnstenen i SOX-efterlevnad. En SIEM-lösning gör det enklare att samla, analysera och visualisera denna typ av information vilket gör efterlanden både enklare och effektivare än vad som någonsin varit fallet.

Övervakning av kritiska system

Kritiska system som innehåller känslig information bör ständigt övervakas för att upptäcka eventuella misstänkta sessioner. LogPoint har inbyggt stöd för dynamiska listor och tabeller, vilket garanterar en konstant och adekvat riskbedömning. LogPoint samlar in och lagrar dynamiska listor innehållandes specifika värden från olika händelser och möjliggör dynamiska uppdateringar med hjälp av värden från loggmeddelanden, medan dynamiska tabeller lagrar angivna fält och fältvärden under exekvering vilka skall användas som anrikningskällor. Genom att göra det möjligt för analytiker att definiera dynamiska listor och tabeller kan organisationer minska tiden för att upptäcka och reagera på incidenter. Genom att kombinera dynamiska listor med statisk anrikning, så erbjuder vi också våra kunder möjligheten att bygga självkonfigurerande analyser för att automatiskt reagera på nya observationer på data, vilket påskyndar dess respons.

Example: Obehöriga anslutningar till kritiska system

LogPoint SIEM use cases: Obehöriga anslutningar till kritiska system

Log sources: Firewall

Query
label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc

Säkerställa adekvat säkerhet inom nätverket

Nätverkssäkerhet säkerställer att CIA-triaden gällande nätverksinfrastruktur samt relaterad data adekvat uppfylls. De tre komponenterna i triaden utgörs av konfidentialitet, integritet och tillgänglighet. Sekretess garanterar att nätverket inte kan nås av obehöriga användare eller från andra icke-obehöriga nätverk. Integriteten garanterar att filer eller data skyddas från icke-behörig modifiering. Tillgängligheten garanterar att både systemet och nätverket är ständigt igång när så anses nödvändigt.

LogPoint integreras med ett brett utbud av nätverk och brandväggsenheter. Data från dessa enheter kan normaliseras, aggregeras, berikas och korreleras för att garantera säkerheten inom nätverket. Vidare kan Threat Intelligence användas för att berika loggdata för att på så sätt förstå huruvida nätverket är föremål för en extern angripare. LogPoint har förmågan att kontrollera olika aktiviteter som tillåtna och nekade anslutningar, användning av data och program, anslutning till hotkällor eller andra misstänkta aktiviteter. Alla tillgångar, system eller enheter i en nätverksaktivitet när dessa associeras med flera högriskindikatorer tyder på att nätverkets säkerhetshållning är i fara. LogPoint kan identifiera sådana hot genom användning av ”join queries” mellan brandväggen och posterna för sårbarhetsskanningen. Resultaten som matchar detta villkor kan även kontrolleras gällande associeringen med kompromissindikatorn. Denna aktivitet kan förenklas genom användning av dynamiska listor, där en lista över utsatta system ständigt upprätthålls och en varning exekveras varje gång en anslutning från en IOC initieras till värdena i listan.

LogPoint SIEM use cases: Nätverkssäkerhet

Log sources: Firewall, Vulnerability scanning

Query
[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* 
| process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address 
| rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent 
| chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

Övervakning av politiken

IT-principer definierar vilka säkerhetsrelaterade riktlinjer de anställda behöver följa för att upprätthålla högsta säkerhetsnivå. Alla ändringar av en organisations IT-principer är kritiska och därför bör övervakas noggrant. LogPoint kan enkelt upptäcka förändringar i de olika principerna såsom granskning, autentisering, auktorisering, filtrering och många fler.

Example: Ändringar av granskningspolicyn

LogPoint SIEM use cases: Ändringar av granskningspolicyn

Log sources: Windows Server

Query
label=Audit label=Policy label=Change | chart count() by log_ts, user, message

Rollbaserad åtkomstkontroll

LogPoint erbjuder dig en flexibel men ändå kraftfull Användar- och kontohantering, driven av en rollbaserad mekanism för åtkomstkontroll där användaråtkomst kan knytas till AD via LDAP för ett förenklat skapande av användarkonton. Dessa användare kan sedan tilldelas specifika grupper hos LogPoint. Gruppbehörigheter till systemet justeras med en rollbaserad metod för administrativa rättigheter, vilket ger den fullständiga kontrollen över åtkomsten till loggförvararna och instrumentpanelens användning, operatörsrättigheter för data- och analys ändamål och administration av användarkonton för hantering av användare, grupper och behörigheter.