Avec la demande croissante de solutions SIEM, les entreprises souhaitent avoir à portée de main les réponses à un certain nombre de problèmes de sécurité qui surgissent au cours de leurs opérations quotidiennes.
Voici les 10 principaux cas d’utilisation et de comportements que le SIEM LogPoint peut détecter dans votre infrastructure.
Laissez nos spécialistes vous montrer comment bénéficier des solutions innovantes de LogPoint !
1 - Activités d'authentification
Activités d'authentification avec un facteur de risque supplémentaire, telles que les connexions à des systèmes critiques et les tentatives de connexion échouées au-delà d'un seuil défini.
Connexions réussies
norm_id=* label=User label=Login label=Successful -user=*$ host IN CRITICAL_SYSTEM | chart count() by host, user order by count() desc limit 10
Échecs de connexion dépassant un seuil
norm_id=* label=User label=Login label=Fail -user=*$ user=* | chart count() as "Count" by user order by "Count" desc limit 10 | search "Count">50
2 - Gestion des comptes
Monitoring de la création, de la suppression et d'autres événements relatifs aux comptes utilisateurs afin de superviser les privilèges d'accès aux ressources et aux systèmes.
Création d'un compte utilisateur
norm_id=WinServer* label=User label=Account label=Management label=Create -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
Suppression d'un compte utilisateur
norm_id=WinServer* label=User label=Account label=Management (label=Delete OR label=Remove) -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
Compte utilisateur approuvé
norm_id=WinServer* label=User label=Account label=Management label=Enable -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
3 - Activités de connexion
Monitoring des activités de connexion pour fournir une vue d'ensemble des connexions réseau par statut, origine et fonction. Cela définit si les connexions sont autorisées/refusées, le nom de l'hôte, le nom du pays de la source, la destination et la fonction.
Connexions entrantes autorisées par localisation
label=Connection label=Allow -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10
Connexion sortante autorisée par localisation
label=Connection label=Allow source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10
Connexions entrantes refusées par localisation
label=Connection label=Deny -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10
Connexions sortantes refusées par localisation
label=Connection label=Deny source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10
Connexions internes refusées par IP/nom d'hôte
norm_id=* label=Connection label=Deny source_address=* destination_address=* source_address in HOMENET destination_address in HOMENET | chart count() by source_address, destination_address order by count() desc limit 10
4 - Activités liées à la politique
Monitoring et détection des changements de politique tels que l'audit, l'authentification, l'autorisation, le filtrage et bien d'autres.
Durée totale du mot de passe par utilisateur
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>30
Authentification des utilisateurs à partir de plusieurs sources
norm_id=* label=User (label=Login OR label=Authenctication) source_address=* -user=*$ user=* | chart distinct_count(source_address) as UniqueSource by user order by UniqueSource desc limit 10 | search UniqueSource>1
5 - Détection des menaces, des malwares et des vulnérabilités
Activités liées aux menaces, telles que les indicateurs de compromission, les infections par des malwares et la détection des systèmes vulnérables.
Identification des indicateurs de menace
norm_id=* source_address=* -source_address in HOMENET | process ti(source_address) | rename et_category as category,cs_category as category, et_score as score,cs_score as score| chart count() by source_address, category, score order by score desc limit 10
Identification des sources vulnérables
(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) severity=4 or severity=5 source_address=* | rename title as vulnerability |chart count() by source_address, vulnerability order by count() desc
Échec de la suppression des malwares
norm_id=* label=Malware label=Clean label=Fail malware=* | chart count() by host, malware order by count() desc limit 10
6 - Renseignements opérationnels
Actions liées au monitoring des activités opérationnelles quotidiennes, telles que l'utilisation des données entrantes et sortantes ou l'utilisation des données par des applications spécifiques.
Utilisation des données entrantes
norm_id=* source_address=* -source_address in HOMENET destination_address IN HOMENET received_datasize=* -source_address=176.161*| timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum(received_datasize/1000/1000) as ReceivedMB
Utilisation des données sortantes
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB
Utilisation des données par application
norm_id=* (label=Connection OR label=Traffic) application=* sent_datasize=* received_datasize=* | chart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB by application order by TotalMB desc
7 - Comportement anormal
Profils basés sur les entités utilisant des techniques de Machine Learning pour identifier les comportements malveillants tels que la manipulation de données, les hôtes infectés ou l'utilisation suspecte de comptes.
Mouvements latéraux et exfiltration de données
Avec LogPoint UEBA, les mouvements latéraux peuvent être facilement détectés, ce qui vous permet de limiter les mouvements non autorisés dans votre environnement. Recevez des alertes en temps réel sur les transferts de données non autorisés au sein de votre réseau, que le transfert soit manuel ou automatisé.
8 - Alerte et réponse aux incidents
Toute situation potentiellement suspecte déclenche une alarme et déclenche alors le processus de gestion des incidents.
Faciliter le mécanisme de réponse aux incidents
Les fonctions de réponse aux incidents de LogPoint fournissent des workflows automatisés pour l'enrichissement des données de l'entreprise, la Threat Intelligence et la corrélation des logs avec les données du réseau afin de rassembler des preuves, de remédier et de répondre efficacement aux incidents.
9 - Conformité, réglementation et audit
Conformité aux réglementations et exigences d'audit telles que ISO27001, GDPR, PCI DSS, HIPAA et bien d'autres.
File Integrity Monitoring
norm_id=IntegrityScanner label=Change (label=File or label=Registry) | rename registry as object, file as object | chart count() by log_ts, host, action, object, prev_hash, hash order by count() desc limit 10
10 - Corrélation et enrichissement avancés
Join et followed by queries sont étendus par des opérations mathématiques et des agrégations pour des analyses avancées basées sur la corrélation.
Corrélation entre plusieurs source de données
[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10
Tentative potentielle de brute force
10 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc
Sessions inachevées
[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | fields log_ts, user
Durée moyenne des sessions achevées
[ label=Login label=Successful] as s1 join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | rename s1.user as user | chart avg(s2.log_ts-s1.log_ts) as duration by user order by duration desc
Durée de la session inachevée
[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log-ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc
Laissez nos spécialistes vous montrer comment bénéficier des solutions innovantes de LogPoint !
Rejoignez dès aujourd'hui plus de 1000 entreprises qui font confiance à LogPoint !
Articles similaires
Miel est heureux d'annoncer son nouveau partenariat avec LogPoint, le spécialiste européen du SIEM.
LogPoint est une société Danoise présente sur le...
Lire l'articlePar LogPoint CTO Christian Have – Le 21 juillet 2021
Les attaques de ransomware sont de plus en plus dévastatrices pour les entreprises. Non...
Lire l'article