Stärk dina säkerhetsanalytiker med SIEM Threat Intelligence

När det kommer till upptäckten av avancerade hot är nyckeln att förstå var dina sårbarheter ligger samt att ha tillräckligt med erfarenhet och kunskap för att kunna avvärja hot. Att identifiera indikatorer på verklig risk är svårt och att försöka skydda sig mot varje nytt hot som dyker upp är så gott som omöjligt. För att hjälpa din organisation att prioritera hot och stärka sitt försvar mot potentiella attacker kan du ta hjälp av tillgängliga underrättelsekällor (s.k. Threat Intelligence sources).

Threat Intelligence-automatisering är en viktig aspekt av en heltäckande cybersäkerhetsstrategi och hjälper dig att förstå risker relaterade till de vanligaste och allvarligaste externa hoten, till exempel zero-day threats, APTs och exploits. Med Threat Intelligence-automatisering kan du samla in och analysera data om de senaste hoten från ett brett spektrum av källor. Threat Intelligence-information från säkerhetsleverantörer, underrättelsegrupper och källor med kopplingar till ditt eget nätverk hjälper dig att avvärja attacker genom att initiera säkerhetsaktiviteter för att stoppa skadligt beteende och undvika incidenter.

Threat Intelligence-automatisering är en aspekt av cybersäkerheten som ingen med ansvar för ett nätverk har råd att avvara. Dess roll i nätverksförsvar är bevisad och dess samlade hotdata är ovärderligt för mängder av företag och organisationer. Tack vare Threat Intelligence-automatiseringen har beslutsfattare nu en tillförlitlig grund som hjälper till att bekräfta fördelarna och konsekvenserna av deras beslut.

Get in touch with us and learn why leading brands choose LogPoint:

Get in touch

Nyckeln är att jobba förebyggande

Realtidsflöden kombinerar informationen och de tidigare erfarenheterna från andra organisationer till en enda källa. Denna källa förser i sin tur ditt team med kontextuell information för att kunna ta bättre strategibeslut baserade på fakta, vilket hjälper till att avvärja attacker. Att försöka upptäcka ett hot bland enorma mängder av samlad data är dock som att leta efter en nål i en höstack. Därför bör du börja med att fråga dig själv:

  • Vad letar jag efter?
  • Hur kan jag skilja normal aktivitet från skadlig aktivitet som kan orsaka en attack?

Skälet till varför integreringen av SIEM och Threat Intelligence ibland liknas vid ett tveeggat svärd är att verktygen saknar kalibrering. Vi på LogPoint anser att det är rätt implementering, och inte mängden information, som leder till önskade resultat.

Även om löpande analys av ett företags loggdata är värdefull i sig, är nästa generations skydd mot avancerade hot endast möjligt genom att jämföra dina interna data med relevanta indikatorer för compromise. Genom att optimera dina interna data med de hot som din sektor oftast utsätts för, kan LogPoint SIEM integrerat med Threat Intelligence tillsammans skapa en mycket fokuserad lösning för att få fram så många insikter som möjligt från ditt företags loggdata, för maximal effektivitet.

Integration av SIEM och Threat Intelligence ger våra kunder ännu snabbare hotkorrelation och hantering, vilket hjälper till att förbättra deras förmåga att övervaka, hantera och åtgärda cyberhot. Genom användandet av LogPoints arkitektur kan organisationer nu dra nytta av en påskyndad förmåga att korrelera en större mängd hotindikatorer som genereras inuti deras perimeter med externa Threat IOCs.

Vi gör det inte bara möjligt för ditt säkerhetsteam att arbeta förebyggande när det kommer till att försvara dina kritiska tillgångar. Vi hjälper dig även att uppnå fullständig lägesmedvetenhet så att du alltid har svaren på följande frågor:

  • När har du blivit attackerad?
  • Är det en ny potentiell attack i görningen?
  • Vem utgör måltavlan inom din organisation?
  • Varför? Vilka sårbarheter planerar angriparna att utnyttja?

Threat Intelligence genom LogPoint SIEM

The LogPoint SIEM Threat Intelligence Application offers a simple and efficient advanced threat intelligence platform to identify emerging threats within your infrastructure, integrating with more than 100 threat intelligence feeds. Leveraging LogPoint’s single taxonomy, the data is converted into a “common language” format, then LogPoint compares it with your enterprise log data.
LogPoints SIEM Threat Intelligence-applikation ger dig en enkel och effektiv Advanced Threat Intelligence-plattform som genom att integrera fler än 100 Threat Intelligence-flöden hjälper dig att identifiera kommande hot inom din infrastruktur. Genom att utnyttja LogPoints taxonomi omvandlas data till ett ”common language”-format. LogPoint tar sedan datan och jämför den med dina företagsloggdata.
På detta sätt kan analytiker automatisera händelse-interrogation och screena hundratusentals av indikatorer på compromise för att utvärdera data baserad på kända attacker. Effektiviteten hos organisatoriskt infrastrukturskydd är helt beroende av kunskap om ett hots karaktäristiska tekniker, för att identifiera och samla in data om attackmetoden eller annat bevis på compromise.
Med LogPoint sker delningen av denna information i en hastighet som ligger nära realtid. Att få fram en analys av användbar information som gör det möjligt att motverka olika typer av hot är alltid en mer komplex utmaning, och man måste även ta den ständiga utvecklingen av risk och attackmetoder med i beräkningen.
För att varna dig för kända hot screenar LogPoint inte bara hundratusentals av indikationer på compromise. Vi uppmanar även till proaktiva åtgärder, som att blockera kända dåliga IP-adresser om en varning om ett potentiellt hot skulle öka.

En flexibel plattform som kan anpassas efter din organisations behov

Threat Intelligence-automatisering i LogPoint möjliggör genererandet av varningar oavsett datastruktur, taxonomi och semantik. Med LogPoint SIEM Threat Intelligence kan du dra nytta av ett brett urval av Threat Intelligence-verktyg (såväl kommersiella som community-drivna och open source), flöden som Emerging Threats och Critical Stack samt STIX/TAXII-kompatibla leverantörer. Vi stödjer även formatet csv för Threat Intelligence-flöden. Detta ger dig möjlighet att i realtid få plattformsöverskådlig inblick i potentiella hot. På så sätt kan ditt säkerhetsteam effektivt eliminera false positives och fokusera på att upptäcka avancerade hot. Sist men inte minst – om du skulle sakna någon komponent så kan vi bygga den åt dig.

Hur gör vi det?

LogPoint Threat Intelligence Indicators-widget

Utmaning

Identifiera indikatorer på hot samtidigt som man arbetar med stora loggvolymer.

Lösning

Analytiker kan, genom att använda förfrågningar med generiska kommandon, endast filtrera bort kritiska hot-indikatorer. I LogPoint kan du välja generisk filtrering, vilket gör att du kan få alla matchningar i Threat Intelligence-databasen, alternativt få resultat baserade på en specifik hot-kategori eller threat score. Genom detta tillvägagångssätt får dina analytiker möjligheten att förenkla utredningsprocessen och fokusera på det faktiska hotet i Cyber Threat Intelligence-dashboards.

LogPoint Threat Intelligence Indicators-widget
LogPoint Threat Intelligence Geografisk distribution widget

Utmaning

Svårigheter att definiera korrekt cybersäkerhetsställning

Lösning

Genom statisk enrichment av en hotindikator (IP-adress eller domännamn) kan dina analytiker få omedelbar översikt över potentiella risker. I LogPoint SIEM Threat Intelligence förklaras alltid risken av ett antal enrichade key value-par, som t.ex. kategori och risk score. Dessa key value-par kommer sedan att indexeras och lagras på diskarna tills de rensas av lagringspolicyn.

Varningsförfrågningar kan definieras baserat på hotindikatorernas score, riskvärde/riskfunktion samt på ursprungslandet för varje enskild varning. Med denna typ av threat intelligence-automatisering får ditt säkerhetsteam möjlighet att ta bättre grundade strategibeslut, vilket resulterar i att effektiviteten gällande incidentrespons och sanering förbättras avsevärt.

Exempel: norm_id=* | process ti(destination_address) | search cs_score>80 | process geoip(destination_address) as country | chart count() by country() order by count() desc

LogPoint Threat Intelligence Enrichment-widget

Utmaning

Det går inte att genomföra en historisk analys.

Lösning

Genom att använda både statisk och dynamisk enrichment får analytikerna tillgång till en unik samling valmöjligheter och kan på så sätt få ut så så mycket som möjligt av LogPoints Threat Intelligence. 

Genom statisk enrichment av en hotindikator (IP-adress eller domännamn) kan dina analytiker få omedelbar översikt över potentiella risker. I LogPoint SIEM Threat Intelligence förklaras alltid risken av ett antal enrichade key value-par, som t.ex. kategori och risk score. Dessa key value-par kommer sedan att indexeras och lagras på diskarna tills de rensas av lagringspolicyn. 

Hotkällor kan inte alltid upptäckas direkt vilket leder till att allvarliga attacker inte upptäcks. För att undvika liknande scenarion kan analytikerna, genom dynamisk enrichment i LogPoint, få möjlighet att utreda attacker i efterhand för att på så sätt hitta indikatorer som annars är svåra att upptäcka.

Exempel:

<b>Static:</b> Without the usage of ”process ti()” command
norm_id=* source_address IN HOMENET | chart count() by cs_category, cs_score, source_address, destination_address

<b>Dynamic:</b> Using ”process ti()” command
norm_id=* | process ti(destination_address)

LogPoint Threat Intelligence Enrichment-widget

+ 1 STIX/TAXII support

STIX/TAXII använder RESTful API med en särskild definition av tjänster och meddelanden för datautbyte. LogPoint konsumerar STIX 1.x-flödet i JSON-format genom att skicka API-förfrågningar till STIX/TAXII-servern. Parameterkrav:

  • url: feed-serverns kompletta värdnamn
  • user name: identifiering för åtkomst till flödet
  • password: lösenord för autentisering
  • fetch interval: tidsintervall inom vilket en ny feed hämtas
  • age limit: tidsintervall inom vilket en feed kvarhålls

När LogPoint väl har konsumerat hot-flödet, analyseras det enligt LogPoint SIEM Threat Intelligence standardtaxonomi, vilket resulterar i en krångelfri och snabb installation.

Och vi har sparat det bästa till sist:

LogPoints Threat Intelligence-applikation är en gratis plug-in som medföljer din LogPoint-licens. Du kan ladda ner applikationen från vårt Help Center.