正在研究LogRhythm – 云 西门子项目。 LogRhythm的SIEM解决方案结合了企业日志管理,安全分析,用户实体和行为分析(UEBA),网络流量和行为分析(NTBA)以及安全自动化和编排。这种集成方法可以实现从威胁检测到事件响应的高效安全操作。
因为SIEM是可以从整个企业访问数据的核心安全基础结构,所以存在大量的SIEM用例。以下是常见的SIEM用例示例,从合规性等传统用途到内部威胁检测和IoT安全性等前沿用例。
| 1 | 单用户 将多个帐户添加到特权组 |
8 |
| 2 | 审核被禁用 管理员 |
8 |
| 3 | 采取行动 终止/禁用的帐户活动 |
8 |
| 4 | 分布式蛮力 强制身份验证成功(Windows) |
7 |
| 5 | 横向运动 帐户扫描 |
7 |
| 6 | 来自的并发VPN 多个地点 |
7 |
| 7 | 视窗 RunAs 特权提升 |
7 |
| 8 | 进攻然后出站 连接 |
7 |
| 9 | 用户/配置 营业时间外变更 |
7 |
| 10 | 配置或 政策变更 |
7 |
| 11 | 渗透:大 出站转账 |
6 |
| 12 | 域密码 政策已更改 |
6 |
| 13 | 检测到P2P活动 | 6 |
| 14 | 特权账户 营业时间以外的身份验证失败 |
6 |
| 15 | 临时账户 用过的 |
6 |
| 16 | 帐户和组 管理活动 |
6 |
| 17 | 认证后 安全事件 |
5 |
| 18 | 严重/错误警报 | 5 |
| 19 | 垃圾邮件机器人 | 5 |
| 20 | 可疑出站 检测到网络流量 |
5 |
| 21 | 内部分布式 验证失败 |
4 |
| 22 | 虚拟专用网已过期/已禁用 登录尝试 |
4 |
| 23 | 枢轴行为– 视窗服务 |
4 |
| 24 | 然后内部攻击 账户创建 |
4 |
| 25 | 反复攻击 针对主机 |
4 |
| 26 | 数据渗漏 | 4 |
| 27 | 单用户 已添加到多个唯一特权组 |
3 |
| 28 | 恶意软件爆发 | 3 |
| 29 | 特权账户 认证活动 |
3 |
| 30 | 防病毒失败 | 2 |
| 31 | 恶意软件:未清除 | 2 |
| 32 | 用户 数据库特权/权限更改 |
2 |
