Toppanvändningsfall för säkerhet operationer

Top Use Cases

I dagens globaliserade digitala ekonomi är det viktigt att övervaka och skydda ditt företags data mot avancerade cyberhot. Detta blir allt mer komplicerat på grund av för många verktyg, brist på säkerhetskunskaper och trötthet på larm. Dagens moderna SIEM-lösningar gör att ditt företag kan reagera snabbt och exakt i händelse av ett hot eller dataläcka.

En modern SIEM-lösning tillhandahåller hantering, integration, korrelation och analys på ett ställe, vilket gör det lättare att övervaka och felsöka din IT-infrastruktur i realtid från ett enda gränssnitt. För din användning har vi skapat ett brett utbud av användningsfall med tillhörande Logpoint-exempel för att hjälpa dig att bättre planera din försvarsstrategi.

Operativa och Policy relaterade insikter

Alla eftersläpningar i din IT-säkerhetsverksamhet kan ha en betydande inverkan på din prestation och ditt rykte, vilket ger din konkurrens den öppning de behöver för att förvärva din marknadsandel. Övervakning av programmets prestanda och en hög integritet kombinerad med snabb felsökning är alla väsentliga för att hålla din operativa välmående i optimalt skick. Informationsanalys och automatiseringstekniker har visat sig förbättra produktiviteten och minska kostnaderna genom att hjälpa medarbetare att utföra mer med mindre.

Dataanvändning

Detta kan tillämpas för både inkommande och utgående dataanvändning. Övervakning av dataanvändning är ett av de grundläggande tillvägagångssätten för att få en inblick i hur nätverket presterar och reagera på den externa datakommunikationen. Alla konstiga beteenden som påvisad vi övervakning av användare kan antyda om potentiella överbelastningar, fel, eller misstänkt aktivitet. I följande diagram visas den totala data, utgående data och inkommande dataanvändning i MB.

Example: Övergripande utgående dataanvändning

LogPoint SIEM use cases: Overall outbound data usage

Log sources: Firewall

Query
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | 
timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, 
sum((received_datasize)/1000/1000) as ReceivedMB

Användning av skrivare

Användning av skrivartjänster kan regleras genom användning av LogPoint för att övervaka utskriftsaktiviteterna. Följande diagram visar tidslinjen för hur mycket utskrift som görs varje timme tillsammans med antalet försök. Dessutom förklarar nedanstående även förhållandet mellan dokument vilka skrivs ut för varje session.

Example: Användning av skrivartjänst

LogPoint SIEM use cases: Usage of printer

Log sources: Windows Printer

Query
label=Successful label=Document label=Print | timechart count() as Attempts, sum(print_count) as Prints every 1 hour

Användare med föråldrade lösenord

Organisationer framtvingar lösenordsprinciper vilka kräver återställning av ett lösenord efter att X antal dagar passerat. Detta tidsintervall kan variera beroende på behovet och säkerhetskraven i organisationen. Men oftast så tenderar organisationer genomdriva denna policy av många olika skäl.
Följaktligen är det viktigt att övervaka huruvida det förekommer några åldrande lösenord i en organisation. För att uppnå detta förbrukar LogPoint LDAP-poster från din(a) katalogserver eller Domänkontrollanter. LogPoint-frågor med kraftfulla matematiska funktioner kan användas för att analysera lösenordets senast inställda attribut för att på så sätt identifiera det exakta antalet dagar när lösenordet senast återställdes.

För att ge ett exempel konkret så används i följande fråga en LDAP-tabell för att kontrollera huruvida det förekommer lösenord som är äldre än 365 dagar.

Example: Användare av föråldrade lösenord

LogPoint SIEM use cases: Password ageing users

Log sources: LDAP

Query
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>365

Användare som ansluter från flera källor

Example: Potentiellt delade användarkonton

LogPoint SIEM use cases: Potential shared user accounts

Log sources: Windows Server, Andra autentiseringskällor

Query
label=User label=Login label=Successful | chart distinct_count(source_address) as UniqueSources by user order by UniqueSources asc limit 10 | search UniqueSources>1