Нативные облачные технологии SIEM, UEBA, SOAR и NTA с экономически эффективным озером данных, позволяющие вам смотреть ВСЕ

Система управления информацией и событиями безопасности (SIEM) является центральным компонентом Центра управления безопасностью (SOC) и отвечает за сбор событий из различных конечных точек сети, безопасности и приложений. Эта информация о событии также называется машинными данными, и SIEM берет эту информацию, преобразует ее в индикаторы угроз, на которые можно реагировать. HyperCloud SIEM является родным для облака и использует преимущества облачных сервисов для предоставления операционной модели, которая чрезвычайно выгодна по сравнению с текущим статус-кво.

Ключевые особенности HyperCloud SIEM

  • Бесконечное масштабирование без ожидания внедрения новой инфраструктуры
  • Комплексная стоимость, которая ниже по сравнению с локальным развертыванием
  • Всегда оснащены новейшими возможностями обнаружения
  • Простые операции, не требуются администраторы для баз данных / платформ больших данных
  • Подключенные сигналы для выявления скрытых кампаний и мотивированных субъектов угроз
  • Начните работу за считанные минуты, абсолютно без ожидания
  • Услуги консьержа помогают клиентам адаптироваться и оптимально использовать платформу

DNIF HyperCloud SIEM объединяет многооблачные платформы, машинные данные, современные корпоративные приложения, корпоративных пользователей в одно бесконечно масштабируемое озеро данных и использует расширенную аналитику и машинное обучение для обеспечения непрерывной видимости и действенной информации об угрозах.

Облачная платформа оснащена множеством функций и обеспечивает унифицированный опыт работы с SIEM, UEBA и SOAR. Это гарантирует, что пользователям не придется тратить время на объединение информации или обход консолей, чтобы защитить свою среду.

DNIF HyperCloud чрезвычайно экономичен, позволяя клиентам подключать большие наборы данных, не беспокоясь о масштабировании расходов и, следовательно, уменьшая слепые зоны, обеспечивая лучшую видимость.

UEBA и анализ машинных данных

UEBA использует аналитику и машинное обучение для отслеживания и профилирования больших объемов данных об активности и поведении пользователей из различных источников данных. Применяйте основанные на сценариях алгоритмы, использующие машинное обучение, статистический анализ, аналитику групп сверстников и другие методы для выявления аномалий в организации, группах сверстников и пользователях или организациях.

Распространенные варианты использования UEBA примерно

  • Инсайдерский мониторинг угроз
  • Удаленный мониторинг пользователей
  • Обнаружение скомпрометированного пользователя/хоста
  • Выявление атак на цепочку поставок

UEBA доступен из коробки в планах Professional и Enterprise.

Устранение проблем с синтаксическим анализом с помощью схемы при чтении

Все продукты SIEM должны анализировать события, прежде чем они будут приняты и проанализированы.
Часто события анализируются неправильно, или чаще поля, которые считались неважными во время анализа, теперь требуются для обнаружения нюансов угроз.

Схема при чтении предоставляет уникальную возможность извлекать, ссылаться и вычислять поля, которые ранее не были извлечены в процессе синтаксического анализа.

Schema on Read позволяет пользователям:

  • Извлечение непроанализированных полей во время выполнения
  • Анализируйте только то, что требуется, и уменьшайте объем данных в хранилище
  • Извлечение из ранее проанализированных событий
  • Высокопроизводительное извлечение без влияния на вычислительные ресурсы

Подключенные сигналы для соединения точек и раскрытия кампаний угроз

Связанные сигналы позволяют вам придавать контекст событиям, связывать различные сигналы угроз и раскрывать более масштабную кампанию угроз.

  • Соединяйте оповещения по различным правилам корреляции, используя методы машинного обучения на основе графов, и визуализируйте атрибуты.
  • Используйте подключенные сигналы, чтобы визуализировать до сих пор нормальные события и иметь возможность отслеживать цепочку событий до потенциального нарушения.
  • Сопоставьте сигналы с инфраструктурой MITRE ATT&CK, чтобы визуализировать продвижение атаки по этапам.

Организация безопасности, автоматизация и реагирование (SOAR)

Оркестрация безопасности — неотъемлемая часть платформы, возможности автоматизации встроены в общий рабочий процесс управления угрозами.
Платформа имеет встроенную многопользовательскую систему управления делами. Вот некоторые основные особенности возможностей SOAR, доступных в DNIF HyperCloud.

  • Дополняйте события информацией об угрозах, геоданными и организационным контекстом
  • События обогащаются до того, как они будут проиндексированы, что упрощает запрос расширенных полей, что редко бывает доступно.
  • Проверяйте угрозы с помощью сторонних поставщиков после того, как они появляются как сигналы
  • Запускайте автоматические схемы расследований для изучения обнаруженных угроз
  • Автоматически связывать ранее обнаруженные угрозы с текущими
  • Инициировать команды смягчения последствий и реагирования для сторонних продуктов на основе разработанных сценариев реагирования.

Адаптация и нулевое время окупаемости

Проекты внедрения SIEM считаются долгосрочными, поскольку они требуют большого количества настроек и проверок, прежде чем их можно будет использовать в производстве. DNIF имеет встроенные возможности, которые позволяют пользователю подключать источники событий без какой-либо настройки на платформе SIEM.

Теперь подключите устройства, включив источник журнала и позволив DNIF автоматически настроить себя на

  • Распознать источник журнала
  • Автоматическое определение типа журнала и подключение соответствующего экстрактора
  • Автоматическая настройка обогащения и включение правильных сегментов обогащения
  • На основе источника журнала активируйте необходимые сигнатуры угроз.

Фактически вы сможете перейти от настройки источника событий к обнаружению ваших первых угроз без какой-либо настройки в SIEM.

Машинное обучение без кода

Использование традиционных методов для обнаружения недокументированных угроз затруднено, если вообще возможно, во многом потому, что артефакты в угрозе до сих пор не обнаружены. Эти угрозы теперь можно обнаруживать с помощью систем обнаружения на основе поведения, которые используют аналитику и машинное обучение для выявления выбросов.
Некоторые ключевые преимущества

  • Записывайте действия и модели поведения пользователей и организаций.
  • Отслеживайте поведение пользователей, команд и организаций, также можно использовать настраиваемые группы
  • Создавайте модели машинного обучения без написания кода или сложных конфигураций
  • Используйте автоматически сгенерированные предложения функций, чтобы получить точные результаты
  • Выполнение во время выполнения без создания исторического профиля, отлично подходит для точечной аналитики

Выравнивание MITRE ATT&CK®

Поймите, что вы можете обнаружить и какие слепые зоны требуют внимания. DNIF HyperCloud сопоставляет каждую аналитическую модель обнаружения и модель машинного обучения со структурой ATT&CK.
Определите степень повреждения и проникновения, визуализируя случаи угроз на платформе.

Платформа определяет источники журналов, которые приведут к максимальным результатам угроз, позволяя командам использовать источники событий, которые окажут максимальное влияние на обнаружение угроз.

Потоковая аналитика угроз

Автоматическое включение встроенной аналитики угроз на основе активных источников журналов. Достигайте результатов практически в реальном времени с помощью потоковых
рабочих книг, которые не нужно планировать или активировать. Потоковая аналитика обеспечивает непрерывный мониторинг событий и при необходимости может задействовать подключенную логику угроз.

Индекс возможностей для HyperCloud SIEM

ВозможностиОписание
Товар

SIEM, UEBA, SOAR, Case Management, NTA и HyperScale Datalake поставляются в виде облачной подписки

Основные варианты использования

Базовый мониторинг безопасности, расширенное обнаружение угроз, облачная безопасность и соответствие требованиям

Контент обнаружения

Более 500 рабочих книг Active Detection, которые запускаются в потоковом режиме в реальном времени и постоянно обновляются вместе с изменяющимся сценарием угроз.

Соединители

Собственные облачные коннекторы для Azure, AWS, GCP и облачной безопасности и поставщиков приложений, таких как Beats, Box, GSuite, o365, Okta, OneLogin, Orca, Prisma, Saleseforce и Snowflake.

Хранение данных

Базовый план включает 12 месяцев онлайн-удержания с возможностью продления онлайн- и онлайн-удержания до 24 или 36 месяцев.

Резидентность данных

В настоящее время доступны регионы SaaS — Мумбаи (APAC) с резервированием в нескольких зонах доступности для плана Enterprise

Обогащение

Оперативное обогащение в режиме реального времени с встроенной интеграцией с GeoData, поставщиками информации об угрозах и информацией о пользователях/доступе

Аналитика

Встроенная платформа аналитики и машинного обучения с моделями угроз, отсутствием обнаружения выбросов в коде и конвейерной рабочей средой.

  • Язык запросов DNIF для высокоскоростного поиска/корреляции
  • Блок кода Python для машинного обучения/манипулирования данными
  • Встроенная поддержка языка запросов Apache Spark (SQL)
  • Блоки ИИ для машинного обучения без кода и обнаружения выбросов
  • Визуальный поиск для поиска событий через консоль поиска пользовательского интерфейса
SOAR Playbooks

Плейбуки прямого действия с проверкой и реакцией.
Интеграция с основными продуктами кибербезопасности

Сортировка

Связанные сигналы, которые связывают угрозы с помощью когнитивного машинного обучения и создают общее представление для всех кампаний.

Услуги консьержа

План DNIF HyperCloud Enterprise устраняет пробел в навыках, который часто является причиной неудачных развертываний, благодаря тесным, управляемым процессами услугам консьержа, которые клиенты могут извлечь из платформы мгновенно. Эта услуга позволяет клиентам быстрее развертывать системы, оставаться актуальными для угроз и становиться более зрелыми благодаря процессу управления угрозами и обработки инцидентов.

Услуги консьержа включают в себя:

  • Адаптация платформы — проведите команду клиентов через 5 сеансов (1 час за сеанс) программы адаптации, цель которой — предоставить пользователям платформы все необходимые оперативные навыки.
  • Адаптация источника событий — помогите заинтересованным сторонам источника событий правильно настроить источники и создать соединители в случае новых интеграций.
  • Инжиниринг экстракторов — настройте нужные экстракторы и создавайте экстракторы на основе эталонного теста экстракторов, где это необходимо.
  • Взаимодействие с содержимым — включение готового содержимого угроз и создание пользовательского содержимого в соответствии с требованиями
  • Периодические обзоры зрелости – оценивайте эффективность, тактические улучшения с течением времени и, наконец, защитную
    зрелость среды.

Помимо услуг консьержа, план Enterprise также включает резервирование в нескольких зонах доступности.

О НЕТМОНАСТЫРЕ

NETMONASTERY использует передовые разработки и исследования в области безопасности, чтобы снизить входной барьер для платформ защиты от угроз и сделать их доступными для всех. NETMONASTERY инвестирует в возможность масштабирования, чтобы снизить стоимость операций для платформ кибербезопасности и, следовательно, сделать возможным для всех получение информации об угрозах в их среде. В основе лежит группа счастливых, но высоко мотивированных инженеров, которые не боятся бросить вызов статусу-кво, и это проявляется во встроенной в продукт способности HyperScale.

Гипероблако DNIF

DNIF HyperCloud — это собственная облачная платформа, которая объединяет функциональные возможности SIEM, UEBA и SOAR в единый непрерывный рабочий процесс для решения задач кибербезопасности в масштабе. DNIF HyperCloud — это флагманская платформа SaaS от NETMONASTERY, которая обеспечивает функциональность обнаружения ключей с использованием анализа больших данных и машинного обучения. NETMONASTERY стремится предоставить платформу, которая помогает клиентам получать машинные данные и автоматически выявлять аномалии в этих потоках данных, используя алгоритмы машинного обучения и обнаружения выбросов. Цель состоит в том, чтобы облегчить неподготовленным инженерам и аналитикам использование платформы и надежное и эффективное извлечение выгоды.


© Все права защищены