직원, 계약자, 파트너, 권한 있는 사용자를 비롯한 모두가 내부자 위협을 초래할 수 있습니다. 이러한 내부자를 색출하는 것은 어려운 일이며, 이들이 공격에 성공한다면 막대한 피해가 발생할 것입니다. ArcSight Intelligence 플랫폼은 보안 팀이 엔드포인트, 서버, 네트워크 및 테라바이트 규모의 로그 데이터까지 모두 파악할 수 있도록 지원합니다. ArcSight는 백엔드부터 엔드포인트에 이르는 내부 위협에 대한 완벽한 정보를 제공합니다.
ArcSight Intelligence는 머신 러닝을 통해 정상적인 프로세스에 대한 전반적인 상황을 제시합니다. 비정상적이거나 위험성이 높은 활동을 발견하면 이러한 이벤트를 관련 사용자에게 연결하고 위험 점수를 높이며(허위 양성 경고를 근본적으로 최소화) 사건의 맥락을 명확하고 실행 가능한 대화형 인터페이스로 표시합니다. ArcSight Intelligence는 내부자 위협을 감지하고 표면화하는 동시에 보안 팀이 보다 신속하고 효율적으로 내부자 위협을 완화하도록 지원합니다.
오늘날의 사이버 공격은 종종 정교한 심층 방어 범위 주변까지 침투합니다. 기업은 네트워크 내에서 이러한 위협을 모니터링해야 합니다. 그러나 방대한 양의 이벤트 데이터를 살펴보면 대부분이 허위 양성 경고인 경우가 많습니다. 진정한 빅 데이터 플랫폼을 기반으로 구축된 ArcSight Intelligence는 대규모의 데이터를 수집하고 분석하여 신속하고 정확하게 공격을 표면화합니다.
ArcSight Intelligence는 손상된 계정에서 가로 이동, 데이터 정찰, 데이터 스테이징 및 데이터 유출 이동에 이르는 공격 경로를 감지, 연결 및 시각화합니다. 이러한 컨텍스트 속에서 ArcSight Intelligence는 공격이 전개될 때 빠르게 표면화할 수 있습니다. 또한 분석가에게 즉시 사건 시각화 및 워크플로를 제공하여 효율적인 검증, 조사 및 대응을 지원합니다. Intelligence의 사용 사례를 확인하고 지금 데모를 요청하십시오.
많은 고객이 리포지토리, 공유 드라이브, 서버 등의 프로젝트를 비롯한 디지털 자산에 위험 점수를 매길 수 있는 분석 기능을 활용하기 위해 데이터 중심 보안 프로그램에 ArcSight Intelligence를 구축합니다.
이 플랫폼은 소스 코드 관리(SCM)와 같은 IP 리포지토리의 애플리케이션 로그에 동작 분석을 적용하여 백엔드 가시성 문제를 고유한 방식으로 해결합니다. ArcSight Intelligence는 분석가에게 고위험 활동을 정확하게 알려 침입 전에 악성 행위를 중단할 수 있도록 합니다.
엔드포인트 감지 및 대응(EDR) 솔루션은 위협 감지를 위한 가장 상세하고 정확한 데이터를 제공합니다. 수십억 개의 엔드포인트 이벤트를 분석하는 ArcSight Intelligence와 결합되어 보안 팀은 손상된 계정, 가로 이동, 내부 재구성 또는 데이터 유출의 징후를 빠르고 효과적으로 감지할 수 있습니다. ArcSight Intelligence는 비정상적인 로그인 빈도, 작업 날짜 또는 시간, 비정상적인 시스템과 같은 사용자 정보를 새롭게 조명하여 찾기 어려운 위협을 탐지하는 데 도움이 되는 중요한 정보를 제공합니다.
ArcSight Intelligence의 행동 분석과 CrowdStrike의 풍부한 엔드포인트 데이터를 결합하면 내부자 또는 표적형 공격과 같이 찾기 어려운 위협을 신속하게 발견할 수 있습니다. 이 솔루션을 통해 보안 운영 센터는 수십억 개의 엔드포인트 이벤트를 우선순위가 지정된 리드 목록으로 분류함으로써 경고 피로를 줄이고, 가장 중요한 위협에만 집중하여 보다 원활하게 대응할 수 있습니다.
오늘날 보안 운영 센터의 초석이 되었기는 하지만, SIEM, DLP, IAM, NAC 제품은 지나치게 많은 허위 양성 경고와 너무도 복잡한 정책 구조와 같은 보안 격차를 유발했습니다. 이로 인해 보안 센터가 정확히 위협을 감지, 식별 및 대응하는 역량은 감소하고, 분석가가 어느 것이 진짜 위협인지 추측하는 데 너무 많은 시간을 허비하게 됩니다. ArcSight Intelligence의 고급 분석 플랫폼은 기존 보안 도구의 효율성을 극대화하고 보안 운영을 최적화하기 위해 개발되었습니다.
ArcSight Intelligence는 ID 및 액세스 관리, 원격 액세스, 웹 프록시, 소스 코드 리포지토리 시스템과 같은 기존 보안 도구에서 수집한 데이터를 상호 연관시켜 시스템 및 애플리케이션 수준에서 사용자 및 서비스 계정, 인증 및 액세스에 대한 전사적 관점을 제시하며, 상황에 맞는 데이터를 SIEM 또는 사건 대응 도구에 자동으로 공급하여 고위험 데이터의 액세스 및 이동에 대한 통찰력을 제공합니다. 또한 API 호출을 통해 인증서, DLP 또는 NAC 시스템에서 IT 제어를 활성화할 수도 있습니다.
계정 손상은 피싱, 맬웨어 또는 데이터 침해로 인해 발생할 수 있습니다. 공격자는 금전적 이득을 얻거나 다른 애플리케이션과 네트워크의 민감한 데이터에 액세스할 목적으로 고객과 직원의 자격 증명을 훔칩니다. 고급 머신 러닝에 기반한 ArcSight Intelligence 플랫폼은 사용자 및 서비스 계정에서 손상된 계정을 감지하는 데 초점을 맞춘 수백 개 이상의 알고리즘을 활용합니다. 또한 ArcSight Intelligence는 엔드포인트, 디렉토리, ACL의 지표와 여러 코드 협업 및 버전 제어 소프트웨어 프로그램의 애플리케이션 로그를 상호 연관시킬 수 있습니다. 여기에는 모든 유형의 계정 중심 공격이 포함됩니다.
ArcSight Intelligence의 광범위한 가시성을 통해 보안 팀은 계정 손상을 감지하여 이러한 공격을 관련 IOC와 연결할 수 있습니다. 즉 위협을 신속하고 정확하게 표면화할 뿐만 아니라 한 걸음 더 나아가 공격이 대상에 도달하기 한참 전에 공격의 기초가 되는 문맥상의 정보를 제공합니다.
ArcSight Intelligence는 공격 대상이 목표에 도달하기 전에 공격을 표면화합니다. 하지만 이는 시작에 불과합니다. 그런 다음에는 보안 분석가의 공격 검증을 지원하고 비즈니스의 사건 대응 프로세스와 통합되어 조직 내 모든 팀에게 사건 정보를 제공합니다. UI는 공격을 멈추는 방법을 즉각적으로 파악하는 데 매우 중요한 역할을 하는 공격을 3차원으로 나타낸 그림을 제공합니다. 엔티티 위험 보기는 공격이 전개될 때 공격 타임라인, 위험 추세 및 새로운 이상 징후를 분석가에게 시각적으로 보여줍니다. 타임라인 보기에는 공격과 관련된 위협 인텔리전스 정보와 다른 보안 제품의 경고도 포함될 수 있습니다. 이를 통해 검증 및 대응 프로세스를 최적화할 수 있습니다.
조사관과 위협 추적자들은 클릭 한 번으로 사건에 대한 심층적인 이벤트 수준 정보에 액세스할 수 있습니다. 또한 RESTful API와 다른 여러 ArcSight 구성 요소와의 네이티브 통합은 대응 및 조사 프로세스를 최적화하여 보안 팀이 데이터가 손상되기 전 공격을 차단하는 데 필요한 도구를 제공합니다.
세간의 관심을 모았던 내부자 위협 연루는 우리가 권한 있는 계정에 얼마나 무지했는지를 일깨워 주었습니다. 직원이 위협을 초래하거나 이들의 자격 증명이 손상된 경우 이러한 유형의 계정에 액세스하면 상당한 손실이 발생할 수 있습니다.
ArcSight Intelligence는 각 권한 있는 계정에 대해 시간, 인증, 액세스, 애플리케이션 사용 및 데이터 이동과 같은 동작을 고려하여 기준선을 설정합니다. 계정이 기준선에서 벗어나면 ArcSight Intelligence의 분석 기능이 권한 있는 사용자의 활동을 시각화하고 위험 점수를 통해 허위 양성 경고를 제외한 다음 보안팀에 알려 조치를 취하도록 합니다.
어떤 사용 사례가 가장 마음에 드십니까? 당사 보안 전문가와의 데모를 예약하여 ArcSight Intelligence가 SOC의 능력을 극대화할 수 있는 도구를 제공하는 방법에 대해 알아보십시오.
