Mitarbeiter, Auftragnehmer, Partner und privilegierte Benutzer können alle zu Insider-Bedrohungen werden. Sie sind schwer zu erkennen und können bei Erfolg verheerende Auswirkungen nach sich ziehen. Die ArSight Intelligence Plattform kann Sicherheitsteams mit Sichtbarkeit von Daten in allen Endgeräten, Servern, Netzwerken und selbst in Terabytes von Logdaten stärken. ArcSight zeigt alle Insider-Bedrohungen vom Backend bis in die Endgeräte.
Durch maschinelles Lernen schafft ArcSight Intelligence ein ganzheitliches Bild der normalen Prozesse. Werden anomale oder risikoreiche Handlungen entdeckt, werden diese mit den beteiligten Benutzern in Verbindung gebracht. Dadurch erhöht sich deren Risikobewertung (wobei Falschmeldungen radikal minimiert werden) und der Kontext des Vorfalls wird in einer klaren, handlungsbefähigenden und interaktiven Schnittstelle dargestellt. ArcSight Intelligence erkennt und bringt Insiderbedrohungen an die Oberfläche, sodass Sicherheitsteams sie schneller und effizienter entschärfen können.
Heute durchdringen Cyberangriffe regelmäßig sogar ausgeklügelte, tiefgreifende Schutzperimeter. Unternehmen müssen diese Bedrohungen in ihren Netzwerken überwachen. Doch das Durchsuchen massiver Ereignisdatenmengen führt normalerweise meist zu Fehlalarmen. ArcSight Intelligence ist auf einer wahren Big Data-Plattform aufgebaut, nimmt massive Datenmengen auf und analysiert sie, um Angriffe schnell und fehlerfrei aufzudecken.
ArcSight Intelligence erkennt, verbindet und visualisiert den Angriffspfad – von unsicheren Konten bis zu lateralen Bewegungen, Datenaufklärung, Datenbereitstellung und Datenbewegung zur Exfiltration. In diesem Kontext kann ArcSight Angriffe schnell aufdecken, während sie sich abspielen. Ein Analyst erhält unmittelbare Darstellungen der Vorfälle und Workflows zur effizienten Validierung, Untersuchung und Reaktion. Fordern Sie noch heute eine Demo an, um Intelligence in Aktion zu sehen.
Viele Kunden setzen ArcSight Intelligence in einem datenzentrischen Sicherheitsprogramm ein, weil die Analyse eine Risikoeinstufung für digitale Bestände bietet, u. a. Projekte in Repositorys, auf gemeinsam genutzten Laufwerken, Servern usw.
Die Plattform behandelt Probleme der Backend-Transparenz auf einzigartige Weise, indem sie Verhaltensanalysen auf die Anwendungsprotokolle von IP-Repositories anwendet, wie z. B. Source Code Management (SCM). ArcSight Intelligence zeigt Analysten zielgenau risikoreiche Aktivitäten auf, sodass sie Fehlverhalten vor Vorfällen unterbinden können.
Lösungen zur Endgerät-Erkennung- und -Reaktion (EDR) bieten die ausführlichsten und genauesten Daten für die Bedrohungserkennung. Sicherheitsteams können dank ArcSight Intelligence, die Milliarden von Endgerätereignissen analysieren kann, Anzeichen für unsichere Konten, laterale Bewegung, interne Auskundschaftung oder Datenextraktion schnell und effektiv erkennen. ArcSight Intelligence bringt Benutzerdaten zum Vorschein, z. B. abnormale Anmeldefrequenz, Arbeitsdatum oder -zeit oder ungewöhnliche Geräte, was wertvolle Zusammenhänge für die Erkennung schwer zu identifizierender Bedrohungen bietet.
Kombinieren Sie die Verhaltensanalysen von ArcSight Intelligence mit den umfangreichen Endgerätdaten von CrowdStrike, um schwer erkennbare Bedrohungen wie Insider-Bedrohungen oder gezielte Angriffe schnell zu entdecken. Durch diese Lösung können Security Operations Centers nahtloser auf Bedrohungen reagieren, indem Milliarden von Endgerätereignissen in eine Liste mit prioritisierten Hinweisen destilliert werden. So wird die Gewöhnung an Alarme reduziert und die Center können sich auf die Bedrohungen konzentrieren, die am wichtigsten sind.
Auch wenn SIEM, DLP, IAM und NAC-Produkte die Eckpfeiler moderner Security Operations Centers sind, haben sie auch Sicherheitslücken geschaffen. Es gibt zu viele falsche Alarme und zu komplizierte Richtlinien, die die Fähigkeit eines Security Operations Centers reduzieren, Bedrohungen richtig zu erkennen, zu validieren und darauf zu reagieren. Analysten verschwenden zu viel Zeit damit, zu erraten, welche Bedrohung real ist. Die erweiterte Analyseplattform von ArcSight Intelligence wurde geschaffen, um die Effektivität bestehender Sicherheitstools zu maximieren und Security Operations zu optimieren.
ArcSight Intelligence korreliert Daten, die von bestehenden Sicherheitstools, wie z. B. Identity and Access Management-, Fernzugriff-, Web-Proxy-, und Quellcode-Repository-Systemen erfasst wurden, um eine unternehmensweite Ansicht der Benutzer- und Servicekonten, Authentifizierungen und Zugriffe auf System- und Anwendungsebene zu erstellen. Die Plattform bietet zudem Einblick in den Zugriff auf risikoreiche Daten und ihre Bewegungen und leitet automatisch Kontextdaten zurück zum SIEM- oder Incident-Response-Tool. Sie kann außerdem über API-Aufrufe IT-Kontrollen in Aufthentifizierungs-, DLP- oder NAC-Systemen aktivieren.
Die Kontosicherheit kann durch Phishing, Malware oder Datenmissbrauch beeinträchtigt werden. Angreifer stehlen die Anmeldedaten von Kunden und Mitarbeitern, um sich finanziell zu bereichern oder Zugriff auf vertrauliche Daten in anderen Anwendungen und Netzwerken zu erlangen. Die ArcSight Intelligence-Plattform funktioniert dank erweitertem maschinellem Lernen und nutzt Hunderte von Algorithmen mit Fokus auf die Entdeckung von unsicheren Benutzer- und Servicekonten. ArcSight Intelligence kann durch mehrere Code-Collaboration- und Versionskontroll-Softwareprogramme die Indikatoren von Endgeräten, Verzeichnissen, ACL und Anwendungsprotokollen korrelieren. Das deckt alle Arten von kontobezogenen Angriffen ab.
Durch die weitläufige Transparenz von ArcSight Intelligence können Sicherheitsteams unsichere Konten erkennen und diese Angriffe mit den damit zusammenhängenden IOCs verbinden. In anderen Worten werden Bedrohungen nicht nur schnell und fehlerfrei aufgedeckt. In einem zusätzlichen Schritt werden die zugrundeliegenden Kontextinformationen von Angriffen bereitgestellt, lang bevor er sein Ziel trifft.
ArcSight Intelligence deckt Bedrohungen auf, bevor sie ihr Ziel erreichen. Doch das ist erst der Anfang. Die Plattform unterstützt Sicherheitsanalysten bei der Überprüfung des Angriffs, ist in den Vorfallsreaktionsprozess integriert und vermittelt den Teams unternehmensweit Vorfallsdaten. Die UI liefert ein dreidimensionales Bild des Angriffs. Dies ist für das unmittelbare Verständnis wichtig und hilft, ihn zu stoppen. Entitätsrisikoansichten bieten Analysten die Visualisierung der Zeitachse der Angriffe, Risikotrends und neue Anomalien, die während des Angriffs auftreten. Die Zeitachsenansicht kann auch Warnungen von anderen Sicherheitsprodukten und Informationen über die Bedrohungen enthalten, die mit dem Angriff in Verbindung stehen. Dadurch werden die Validierungs- und Reaktionsprozesse optimiert.
Ermittler und Bedrohungsjäger haben One-Click-Zugriff auf ausführliche Daten eines Vorfalls. Darüber hinaus optimieren die RESTful API und die native Integration mit mehreren anderen ArcSight-Komponenten den Reaktions- und Untersuchungprozess, sodass Sicherheitsteams die nötigen Werkzeuge haben, um Angriffe aufzuhalten, bevor Daten in Gefahr geraten.
Weitläufig publizierte Vorfälle, bei denen Insider-Bedrohungen eine Rolle spielten, erinnern uns daran, wie wenig wir auf Handlungen achten, die von privilegierten Konten ausgehen. Wenn der Mitarbeiter eine Bedrohung darstellt oder seine Anmeldedaten unsicher sind, kann der Zugriff auf diesen Kontotyp zu erheblichen Verlusten führen.
Für jedes privilegierte Konto berücksichtigt ArcSet Verhalten wie Zeit, Authentifizierung, Zugriff, Anwendungsnutzung und Datenbewegung, um eine Baseline für zahlreiche Verhaltenstypen zu erstellen. Wenn ein Konto von seinen Baselines abweicht, visualisieren die Analysen von Interset die Aktivität eines privilegierten Benutzers, exkludiert Falschmeldungen durch Risikobewertungen und alarmiert dann das Sicherheitsteam, damit Maßnahmen ergriffen werden können.
Welche Use Cases sind für Ihr Unternehmen am wichtigsten? Lassen Sie sich einen Termin zur Demo von einem unserer Sicherheitsfachleute geben, um zu erfahren, welche Tools Ihnen ArcSight Intelligence zur Optimierung Ihrer SOC bieten kann.
