Voici les 10 principaux cas d’utilisation et de comportements que le SIEM LogPoint peut détecter dans votre infrastructure.
Activités d'authentification avec un facteur de risque supplémentaire, telles que les connexions à des systèmes critiques et les tentatives de connexion échouées au-delà d'un seuil défini.
Connexions réussies
norm_id=* label=User label=Login label=Successful -user=*$ host IN CRITICAL_SYSTEM | chart count() by host, user order by count() desc limit 10
Échecs de connexion dépassant un seuil
norm_id=* label=User label=Login label=Fail -user=*$ user=* | chart count() as "Count" by user order by "Count" desc limit 10 | search "Count">50
Monitoring de la création, de la suppression et d'autres événements relatifs aux comptes utilisateurs afin de superviser les privilèges d'accès aux ressources et aux systèmes.
Création d'un compte utilisateur
norm_id=WinServer* label=User label=Account label=Management label=Create -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
Suppression d'un compte utilisateur
norm_id=WinServer* label=User label=Account label=Management (label=Delete OR label=Remove) -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
Compte utilisateur approuvé
norm_id=WinServer* label=User label=Account label=Management label=Enable -target_user=*$ -user=*$ | chart count() by log_ts, domain, user, action, target_user order by count() desc limit 10
Monitoring des activités de connexion pour fournir une vue d'ensemble des connexions réseau par statut, origine et fonction. Cela définit si les connexions sont autorisées/refusées, le nom de l'hôte, le nom du pays de la source, la destination et la fonction.
Connexions entrantes autorisées par localisation
label=Connection label=Allow -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10
Connexion sortante autorisée par localisation
label=Connection label=Allow source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10
Connexions entrantes refusées par localisation
label=Connection label=Deny -source_address IN HOMENET source_address=* destination_address IN HOMENET | process geoip(source_address) as country | chart count() by country order by count() desc limit 10
Connexions sortantes refusées par localisation
label=Connection label=Deny source_address IN HOMENET destination_address=* -destination_address IN HOMENET | process geoip(destination_address) as country | chart count() by country order by count() desc limit 10
Connexions internes refusées par IP/nom d'hôte
norm_id=* label=Connection label=Deny source_address=* destination_address=* source_address in HOMENET destination_address in HOMENET | chart count() by source_address, destination_address order by count() desc limit 10
Monitoring et détection des changements de politique tels que l'audit, l'authentification, l'autorisation, le filtrage et bien d'autres.
Durée totale du mot de passe par utilisateur
Table AD_Users pwdLastSet=* -pwdLastSet=0 | process current_time(a) as time | chart max((time - (pwdLastSet/10000000 - 11644473600))/60/60/24) as number_of_days, max(pwdLastSet/10000000 - 11644473600) as pwdLastSet_ts by sAMAccountName | search number_of_days>30
norm_id=* label=User (label=Login OR label=Authenctication) source_address=* -user=*$ user=* | chart distinct_count(source_address) as UniqueSource by user order by UniqueSource desc limit 10 | search UniqueSource>1
Activités liées aux menaces, telles que les indicateurs de compromission, les infections par des malwares et la détection des systèmes vulnérables.
norm_id=* source_address=* -source_address in HOMENET | process ti(source_address) | rename et_category as category,cs_category as category, et_score as score,cs_score as score| chart count() by source_address, category, score order by score desc limit 10
Identification des sources vulnérables
(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) severity=4 or severity=5 source_address=* | rename title as vulnerability |chart count() by source_address, vulnerability order by count() desc
Échec de la suppression des malwares
norm_id=* label=Malware label=Clean label=Fail malware=* | chart count() by host, malware order by count() desc limit 10
Actions liées au monitoring des activités opérationnelles quotidiennes, telles que l'utilisation des données entrantes et sortantes ou l'utilisation des données par des applications spécifiques.
norm_id=* source_address=* -source_address in HOMENET destination_address IN HOMENET received_datasize=* -source_address=176.161*| timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum(received_datasize/1000/1000) as ReceivedMB
Utilisation des données sortantes
norm_id=* destination_address=* source_address in HOMENET -destination_address IN HOMENET received_datasize=* | timechart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB
Utilisation des données par application
norm_id=* (label=Connection OR label=Traffic) application=* sent_datasize=* received_datasize=* | chart sum((sent_datasize+received_datasize)/1000/1000) as TotalMB, sum(sent_datasize/1000/1000) as SentMB, sum((received_datasize)/1000/1000) as ReceivedMB by application order by TotalMB desc
Profils basés sur les entités utilisant des techniques de Machine Learning pour identifier les comportements malveillants tels que la manipulation de données, les hôtes infectés ou l'utilisation suspecte de comptes.
Avec LogPoint UEBA, les mouvements latéraux peuvent être facilement détectés, ce qui vous permet de limiter les mouvements non autorisés dans votre environnement. Recevez des alertes en temps réel sur les transferts de données non autorisés au sein de votre réseau, que le transfert soit manuel ou automatisé.
Toute situation potentiellement suspecte déclenche une alarme et déclenche alors le processus de gestion des incidents.
Les fonctions de réponse aux incidents de LogPoint fournissent des workflows automatisés pour l'enrichissement des données de l'entreprise, la Threat Intelligence et la corrélation des logs avec les données du réseau afin de rassembler des preuves, de remédier et de répondre efficacement aux incidents.
Conformité aux réglementations et exigences d'audit telles que ISO27001, GDPR, PCI DSS, HIPAA et bien d'autres.
norm_id=IntegrityScanner label=Change (label=File or label=Registry) | rename registry as object, file as object | chart count() by log_ts, host, action, object, prev_hash, hash order by count() desc limit 10
Join et followed by queries sont étendus par des opérations mathématiques et des agrégations pour des analyses avancées basées sur la corrélation.
[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10
Tentative potentielle de brute force
10 label=Login label=Fail having same user] as s1 followed by [label=Login label=Successful] as s2 on s1.user=s2.user | chart count() by user order by count() desc
[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log_ts | fields log_ts, user
Durée moyenne des sessions achevées
[ label=Login label=Successful] as s1 join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | rename s1.user as user | chart avg(s2.log_ts-s1.log_ts) as duration by user order by duration desc
Durée de la session inachevée
[ label=Login label=Successful] as s1 left join [label=Logoff] as s2 on s1.logon_id=s2.logon_id | search -s2.logon_id=* | rename s1.user as user, s1.log_ts as log-ts | process current_time(a) as time | process diff(time,log_ts) as duration | chart sum(duration)as duration by log_ts, user order by duration desc
Rejoignez dès aujourd'hui plus de 1000 entreprises qui font confiance à LogPoint !