Interset UEBA | Casos de uso

Com o aprendizado de máquina e a IA, o Interset UEBA torna as equipes do SOC mais eficazes na busca, triagem e investigação de ameaças.

Detecção de ameaças internas

Detecção de ameaças internas

Funcionários, terceirizados, parceiros e usuários privilegiados podem se tornar ameaças internas. Eles são difíceis de detectar, com consequências devastadoras se tiverem sucesso. A plataforma Interset capacita as equipes de segurança com visibilidade de endpoints, servidores, redes e até terabytes de dados de log.

O Interset é a única plataforma de detecção de ameaças que fornece uma imagem completa das ameaças internas do backend ao endpoint. Através do aprendizado de máquina, o Interset cria uma imagem holística dos processos normais. Ao detectar atividades anômalas ou de alto risco, ele conecta esses eventos aos usuários envolvidos, aumenta a pontuação de risco deles (minimiza radicalmente alertas falso-positivos) e apresenta o contexto do incidente em uma interface clara, prática e interativa. O Interset detecta e apresenta ameaças internas, permitindo que as equipes de segurança trabalhem com mais rapidez e eficiência para mitigá-las.

Detecção de ataques direcionados

Detecção de ataques direcionados

Os ataques cibernéticos de hoje entram regularmente até em perímetros sofisticados de defesa em profundidade. As empresas devem monitorar essas ameaças que estão dentro de suas redes. Porém, peneirar grandes quantidades de dados de eventos geralmente produz, em sua maioria, falsos positivos. Construído em uma verdadeira plataforma de big data, o Interset ingere e analisa grandes quantidades de dados para identificar ataques rapidamente e com precisão.

O Interset detectará, conectará e visualizará um caminho de ataque – de contas comprometidas a movimentação lateral, reconhecimento de dados, preparo de dados e movimentação de dados para exfiltração. Nesse contexto, o Interset pode identificar ataques rapidamente, à medida que eles surgem. Um analista imediatamente recebe visualizações de incidentes e fluxos de trabalho que permitem a validação, investigação e resposta eficientes.

Proteção de dados sensíveis e de IP

Proteção de dados sensíveis e de IP

Muitos clientes implantam o Interset em um programa de segurança centrada em dados porque as análises fornecem pontuação do risco para ativos digitais, incluindo projetos em repositórios, unidades compartilhadas, servidores, etc.

O Interset também é o único fornecedor de análise de segurança que oferece seu próprio sensor de endpoint e correlaciona dados de endpoint com repositório de back-end e dados de diretório. A plataforma trata exclusivamente de problemas de visibilidade de back-end aplicando análises comportamentais aos logs de aplicativos de repositórios IP, como o Source Code Management (SCM). O Interset identifica atividades de alto risco para os analistas, para que eles possam interromper o mau comportamento antes de uma violação ocorrer.

Endpoint EDR

Detecção e resposta de endpoint

As soluções de detecção e resposta de endpoint (EDR) fornecem os dados mais detalhados e precisos para a detecção de ameaças. Combinadas com o UEBA, que analisa bilhões de eventos de endpoint, as equipes de segurança podem detectar, de maneira rápida e eficaz, indícios de contas comprometidas, movimentação lateral, internal recon ou exfiltração de dados. O Interset UEBA lança uma nova luz sobre as informações de usuário, como frequência anormal de login, data ou hora de trabalho ou uma máquina diferente das usuais, adicionando um contexto valioso para ajudar a detectar ameaças difíceis de encontrar.  

Combine o Interset UEBA com os dados abrangentes do endpoint do CrowdStrike para descobrir rapidamente ameaças difíceis de encontrar, como os ataques internos ou dirigidos. Essa solução permite que os centros de operações de segurança respondam de maneira mais acurada às ameaças, destilando bilhões de eventos de endpoint em um pequeno conjunto de ameaças priorizadas, reduzindo a fadiga de alerta e permitindo que eles se concentrem nas ameaças realmente importantes.

Otimização das Security Operations

Otimização das Security Operations

Embora sejam os pilares dos centros de operações de segurança de hoje, os produtos SIEM, DLP, IAM e NAC criaram falhas de segurança – muitos falsos positivos e estruturas políticas excessivamente complicadas reduzem a capacidade de um centro de operações de segurança detectar, validar e responder a ameaças com precisão. Os analistas perdem muito tempo tentando adivinhar qual é a verdadeira ameaça. A plataforma de análise avançada da Interset foi criada para maximizar a eficácia das ferramentas de segurança existentes e otimizar as operações de segurança.

O UEBA Interset correlaciona os dados coletados das ferramentas de segurança existentes, como o ArcSight e fornece uma visão corporativa das contas de usuário e de serviços, autenticação e acesso nos níveis de sistema e de aplicativo. A plataforma também fornece informações sobre o acesso e a movimentação de dados de alto risco e alimenta, automaticamente, retornando os dados contextuais ao SIEM ou ferramenta de resposta a incidentes. E ainda pode chamar APIs para ativar os controles de TI nos sistemas de autenticação, DLP ou NAC.

Detecção de conta comprometida

Detecção de conta comprometida

Dados comprometidos podem ocorrer por phishing, malware ou um data breach. Os invasores roubam credenciais de clientes e funcionários para obter vantagens financeiras ou para acessar dados sensíveis em outros aplicativos e redes. Baseada no aprendizado de máquina avançado, a plataforma do Interset utiliza mais de 60 algoritmos focados na detecção de contas comprometidas, tanto de usuários quanto de serviços. O Interset também é o único produto de análise de segurança que é capaz correlacionar indicadores de endpoints, diretórios, ACL e logs de aplicativos de vários programas de software de colaboração de código e controle de versão. Isso abrange todos os tipos de ataques direcionados a contas.

A ampla visibilidade do Interset capacita as equipes de segurança a detectar comprometimentos de contas, conectando esses ataques aos IOCs relacionados. Em outras palavras, ele não apenas identifica ameaças com rapidez e precisão, mas também dá um passo adiante e fornece as informações contextuais subjacentes a um ataque bem antes que ele atinja seu alvo.

Geração de leads de caça a ameaças

Geração de leads de caça a ameaças

O Interset vai apontar um ataque antes que ele atinja seu alvo. E isso é só o começo. Ele ajudará os analistas de segurança a validar o ataque, a integrar ao processo de resposta a incidentes da empresa e a fornecer informações sobre incidentes às equipes de toda a organização. A interface do usuário fornece uma imagem tridimensional de um ataque, essencial para entender na hora como interrompê-lo. As visualizações de risco de entidade permitem que os analistas visualizem linhas do tempo de ataques, tendências de risco e novas anomalias à medida que um ataque surge. A exibição da linha do tempo também pode incluir alertas de outros produtos de segurança e informações de inteligência de ameaças relacionadas a um ataque. Isso otimiza o processo de validação e de resposta.

A plataforma Interset inclui a integração aberta do Kibana / Elasticsearch e tem a capacidade de executar análises históricas para quaisquer dados no mecanismo Elasticsearch. Investigadores e caçadores de ameaças têm acesso com um clique a informações profundas, no nível de evento, para um incidente. Além disso, a API RESTful e a integração nativa com vários sistemas downstream (por exemplo, DXL, Phantom, Splunk etc.) otimizam o processo de resposta e investigação, fornecendo às equipes de segurança as ferramentas necessárias para interromper um ataque antes que os dados sejam comprometidos.

Monitoramento de contas privilegiadas

Monitoramento de contas privilegiadas

Incidentes de grande visibilidade, como os que envolveram Edward Snowden e outros, nos mostram o quanto somos cegos quanto às ações de Privileged Accounts. Se o funcionário for a ameaça ou suas credenciais forem comprometidas, o acesso a esse tipo de conta pode causar uma perda significativa.

Para cada conta privilegiada, o Interset leva em consideração comportamentos como tempo, autenticação, acesso, uso de aplicativos e movimentação de dados para caracterizar aproximadamente 30 tipos diferentes de comportamento. Quando uma conta se desvia de suas características básicas, as análises da Interset visualizam a atividade de um usuário privilegiado, reduzindo falsos positivos por meio de pontuações de risco e alertando a segurança para tomar uma ação.

Solicite uma demonstração do Interset UEBA

Quais casos de uso são importantes para os seus negócios? Agende uma demonstração com um de nossos profissionais de segurança para saber como o Interset UEBA pode fornecer as ferramentas para sobrecarregar seu SOC
release-rel-2020-9-2-5123 | Tue Sep 15 18:06:14 PDT 2020
5123
release/rel-2020-9-2-5123
Tue Sep 15 18:06:14 PDT 2020