Av Gitte Gade, Product Marketing Manager, LogPoint

Vi är glada över att kunna presentera en uppdatering som rullas ut automatiskt för alla användare från och med vecka 40. Uppdateringen innehåller tre spännande nya funktioner: stöd för primär och sekundär enhet och avvikelser som har mappats till MITRE ATT&CK

Stöd för sekundära enheter

Efter denna uppdatering inkluderas följande primära enheter: servrar, delningar och webbplatser samt detektorer för dessa primära enheter. Den här funktionen ger en mer nyanserad förståelse för riskerna i ditt nätverk, eftersom vi erbjuder insikt i fler riskprofiler än bara användarprofiler.

För att få full avvikelsekontext för dessa nya primära enheter måste du uppgradera till LogPoint SIEM version 6.12 (versionen LogPoint 6.12 släpps i början av oktober). Du kan dock få nytta av alla fördelar med de nya primära enheterna utan att uppgradera till 6.12. Din avvikelsekontext får då några oifyllda primära entitets-ID:n:

exlpore raw events

Ruta för beskrivning av avvikelsekontext i UEBA

Stöd för sekundära enheter

Uppdateringen erbjuder användare förbättrade filtreringsalternativ som ger fler lager och analysmöjligheter för samma data genom att återintroducera stöd för sekundära entiteter. När en sekundär entitet identifieras i en avvikelse exponeras den i avvikelsens sammanhang.

Den sekundära entiteten är även filtreringsbar och din avvikelsepanel kan ge dig en filtrerad vy över alla avvikelser där den sekundära entiteten används på ett avvikande sätt.

Explore page in UEBA

Utforska sidan i UEBA

Avvikelser mappade till Mitre ATT&CK

Med denna uppdatering mappar vi alla avvikelser till Mitre ATT&CK-taktiker. LogPoint SIEM fokuserar på MITRE ATT&CK-ramverket. Därför ökar vi anpassningen mellan LogPoint SIEM och UEBA, samtidigt som vi utnyttjar en globalt tillgänglig kunskapsbas med angreppstaktiker från verkliga observationer.

Användare kommer att genomgå en övergångsperiod vid övergången från tidigare LogPoint-genererade användningsfall till Mitre ATT&CK-kategorisering. I bilden nedan ser vi förändringen av hotlandskapet som skedde den 1 maj:

  • Före: Det skiktade hotlandskapet bygger på användningsfall i LogPoint
  • Efter: Mitre ATT&CK-taktiker utgör grunden för det skiktade hotlandskapet. Kategorierna kommer att kallas ”Possible” kombinerat med taktiknamnet (exempel: ”Possible Execution”).

Diagrammet visar data från 100 dagar data och LogPoint-användningsfall kommer att fasas ut från hotlandskapet med tiden. Inom den tidsramen kommer diagramförklaringen att uppdateras med resultat och färgen på varje hottyp kan komma att ändras från den ena dagen till den andra.

Mitre categories

Övergripande risksida

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews