Når en får et angrep så må en kunne spore tilbake til hvor
angriper kom seg inn, hvor angriper har klart å få fotfeste osv.
Dette arbeidet krever logger, forsøk derfor å logg alt som kan være nyttig informasjon.
Om en også har analyse av dette i et og samme verktøy så er en kommer langt.
Jeg har tidligere jobbet med søk direkte i syslog, varsler fra brannmur og
antivirus managere osv. Å lese gjennom alt dette er arbeid som tar mye tid,
og det krever at en har erfaring nok til å sile ut det som er støy.
Cortex XDR gjør denne jobben for deg,
når du med noen få klikk kan se Proofpoint logger,
klient logger og brannmur logger i en og samme hendelse så ser du verdien av dette.
Eksempel på info fra flere logger som samles til en fin tidslinje:
Fra Proofpoint loggen ser en hvilken email som klarte å lure seg forbi mailfilteret,
fra Cortex XDR klient loggen ser en hvilken bruker som klikket på linken i mailen,
en kan se at chrome.exe åpnet en link og en kan se hvilken fil som ble lastet ned
og forsøkt kjørt.
Brannmur log viser hvilken IP og URL bruker gikk mot,
hvilken applikasjon og port som var involvert,
om trafikk var deny eller allow,
filer som ble lastet ned osv.
Om du har Cortex XDR så få inn alt du har av logger,
den gjør jo jobben for deg!