正在研究LogRhythm – 云 西门子项目。 LogRhythm的SIEM解决方案结合了企业日志管理,安全分析,用户实体和行为分析(UEBA),网络流量和行为分析(NTBA)以及安全自动化和编排。这种集成方法可以实现从威胁检测到事件响应的高效安全操作。

因为SIEM是可以从整个企业访问数据的核心安全基础结构,所以存在大量的SIEM用例。以下是常见的SIEM用例示例,从合规性等传统用途到内部威胁检测和IoT安全性等前沿用例。

1 单用户
将多个帐户添加到特权组
8
2 审核被禁用
管理员
8
3 采取行动
终止/禁用的帐户活动
8
4 分布式蛮力
强制身份验证成功(Windows)
7
5 横向运动
帐户扫描
7
6 来自的并发VPN
多个地点
7
7 视窗 RunAs
特权提升
7
8 进攻然后出站
连接
7
9 用户/配置
营业时间外变更
7
10 配置或
政策变更
7
11 渗透:大
出站转账
6
12 域密码
政策已更改
6
13 检测到P2P活动 6
14 特权账户
营业时间以外的身份验证失败
6
15 临时账户
用过的
6
16 帐户和组
管理活动
6
17 认证后
安全事件
5
18 严重/错误警报 5
19 垃圾邮件机器人 5
20 可疑出站
检测到网络流量
5
21 内部分布式
验证失败
4
22 虚拟专用网已过期/已禁用
登录尝试
4
23 枢轴行为–
视窗服务
4
24 然后内部攻击
账户创建
4
25 反复攻击
针对主机
4
26 数据渗漏 4
27 单用户
已添加到多个唯一特权组
3
28 恶意软件爆发 3
29 特权账户
认证活动
3
30 防病毒失败 2
31 恶意软件:未清除 2
32 用户
数据库特权/权限更改
2

通过 约翰扬

发表评论