Interset UEBA | Use Cases

Технологии машинного самообучения и ИИ, используемые в Interset UEBA, могут повысить эффективность выявления угроз, анализа информации и проведения расследований.

Обнаружение внутрисистемных угроз

Сотрудники, подрядчики, партнеры и привилегированные пользователи могут стать источником атаки изнутри. Их нелегко отследить, а их действия могут привести к катастрофическим последствиям. Платформа Interset дает специалистам по безопасности надежный инструмент контроля на уровне конечных устройств, серверов, сетей и журналов — в объемах терабайтов данных.

Interset — единственная платформа для выявления угроз, которая позволяет полностью отследить атаку изнутри от сервера до конечного устройства. С помощью технологии машинного самообучения Interset составляет комплексную картину нормального поведения субъектов системы. При обнаружении аномальных или рискованных действий она устанавливает связи между событием и соответствующими пользователями, увеличивает их категорию опасности (что существенно снижает количество ложных сигналов) и генерирует детальный отчет о событии с указанием контекста, отображаемый в интерактивном интерфейсе. Interset обнаруживает и локализует атаки изнутри, повышая оперативность и эффективность работы служб безопасности.

Insider Threat Detection
Выявление таргетированных атак

Сегодня даже самые сложные и высокозащищенные системы регулярно подвергаются кибератакам. Компании должны контролировать такие угрозы и защищаться от них. Но при контроле больших массивов данных может возникать множество ложных сигналов. Платформа Interset, созданная на основе технологий работы с большими данными, собирает и анализирует огромные объемы информации, быстро и точно выявляя угрозы.

Interset определяет атаки, находит взаимосвязи и визуализирует их путь — от взломанной учетной записи до сопутствующих действий — проводит анализ данных, определение этапов и операций передачи данных, отфильтровывая только полезную информацию. Учитывая данный контекст, Interset позволяет быстро выявлять атаки еще в процессе совершения. Аналитическая служба мгновенно получает визуальную схему инцидента и рабочих процессов, что позволяет эффективно оценить, проанализировать событие и отреагировать на него.

Targeted Attack Detection
Защита конфиденциальной информации и IP

Многие клиенты размещают Interset в рамках программы обеспечения безопасности данных, потому что аналитические средства платформы позволяют определить категорию риска цифровых ресурсов, в том числе проектов в репозиториях, общих хранилищ, серверов и пр.

Кроме того, Interset — единственный поставщик в сфере аналитики безопасности, который предлагает модули контроля конечных устройств собственной разработки и технологии корреляции данных устройств с данными серверов и директорий. Платформа использует оригинальную процедуру обработки проблем, связанных с контролем серверной части на основе поведенческого анализа журналов IP-репозиториев, например Source Code Management (SCM). Interset точно определяет опасные действия и указывает на них, позволяя заблаговременно пресечь нарушение.

Sensitive Data and IP Protection
Решения для выявления и обработки событий на конечных устройствах

Решения для выявления и обработки событий на конечных устройствах (EDR) позволяют использовать для поиска угроз детализированную и точную информацию. Используя возможности платформы UEBA, позволяющей анализировать миллиарды событий на конечных устройствах, специалисты по безопасности могут быстро и эффективно выявлять признаки взлома учетных записей, нетипичные действия, внутренние угрозы и утечку данных. Interset UEBA открывает новые аспекты работы с пользовательской информацией, сигнализируя о необычной частоте попыток входа в учетную запись, дате или времени активности, использовании для входа необычных устройств. Это расширяет контекст, которым можно оперировать для поиска сложных для обнаружения угроз.  

С помощью данных, собранных CrowdStrike о конечных устройствах, платформа Interset UEBA позволяет оперативно обнаруживать скрытые угрозы, например атаки изнутри и точечные атаки. Данное решение позволяет центрам обеспечения безопасности действовать эффективнее, отсеивая из миллиардов событий на конечных устройствах наиболее подозрительные признаки, сократив тем самым информационный шум и сосредоточившись на устранении действительно опасных угроз.

Endpoint EDR
Оптимизация систем безопасности

Несмотря на то, что технологии SIEM, DLP, IAM и NAC основополагающие в построении современной ИТ-системы, они не лишены недостатков, к ним относятся избыточное количество ложных сигналов и чрезвычайно сложная структура правил, которые сказываются на возможности центров безопасности точно выявлять и анализировать угрозы и реагировать на них. Аналитики тратят слишком много времени на предположения, является ли сигнал признаком настоящей угрозы. Расширенные функции аналитики платформы Interset служат для повышения эффективности существующих инструментов безопасности и оптимизации системы безопасности в целом.

Interset UEBA проводит корреляцию данных, собранных с помощью различных инструментов, например ArcSight, и формирует общую картину пользовательских и служебных учетных записей, процедур аутентификации и доступа в систему и к приложениям в масштабах всего предприятия. Кроме того, платформа также дает детальную информацию о событиях получения доступа и перемещениях секретных данных, автоматически передавая контекстные данные в SIEM или инструмент реагирования на инциденты. Также она может посредством API активировать системы аутентификации, DLP или NAC.

Optimizing Security Operations
Выявление взломанных учетных записей

Взлом учетных записей совершается различными способами: посредством фишинга, использования вредоносного ПО и утечки данных. Злоумышленники похищают данные клиентов и сотрудников для получения прибыли или доступа к конфиденциальной информации в приложениях и сетях. Созданная на базе технологий машинного самообучения платформа Interset использует более 60 алгоритмов для выявления взломанных учетных записей (пользовательских и служебных). Кроме того, Interset — единственный программный продукт в сфере аналитики безопасности, который может выполнять корреляцию показателей работы конечных устройств, директорий, ACL и данных журналов приложений из различных источников и программ управления версиями. Это ПО позволяет выявлять любые типы атак, направленных на взлом учетных записей.

Контрольные функции Interset позволяют специалистам по безопасности обнаруживать случаи взлома учетных записей, находя связь между индикаторами взлома и атаками. Другими словами, оно не только быстро и точно выявляет угрозы, но и дает контекстную информацию об обнаруженной атаке до того, как такая атака достигнет цели.

Compromised Account Detection
Новейшие технологии выявления угроз

Interset позволяет выявлять атаки до того, как они достигнут цели. Но это только начало. Эта платформа помогает специалистам по безопасности оценить серьезность атаки, включить инцидент в рабочую процедуру реагирования и передать информацию о нем другим подразделениям компании. Пользовательский интерфейс содержит трехмерную модель атаки, что помогает быстро изучить ее природу и остановить ее. Экран рисков корпоративного уровня содержит схему распространения атаки по времени, графики и новые нетипичные события с момента начала атаки. Временной график также содержит сигналы тревоги от других программ системы безопасности и информацию об угрозе, которая относится к активной атаке. Эта функция оптимизирует процесс валидации и реагирования.

Платформа Interset использует интегрированную открытую технологию Kibana/Elasticsearch и может выполнять анализ любых данных журналов поисковой машины Elasticsearch. Специалисты по поиску и анализу угроз в один щелчок могут получить полную информацию по инциденту с детализацией на уровне отдельных событий. Кроме того, RESTful API и интегрированные в базовую конфигурацию модули с многочисленными связанными системами (например DXL, Phantom, Splunk и др.) оптимизируют процесс анализа и реагирования, давая службе безопасности необходимые средства для отражения атаки до завершения взлома.

Threat Hunting Lead Generation
Контроль учетных записей привилегированных пользователей

Широко известные инциденты с участием Эдварда Сноудена и других напомнили нам о том, как часто мы упускаем из виду опасность, связанную с привилегированными учетными записями. Если угроза исходит от сотрудника, или его учетная запись была взломана, доступ к учетной записи с определенными правами может привести к значительным убыткам.

По каждой привилегированной учетной записи Interset устанавливает типичные параметры поведения: время, способ аутентификации, доступ к ресурсам, использование приложений и перемещение данных, выделяя около 30 различных типов поведения. Если использующий учетную запись человек отклоняется от нормальной линии поведения, аналитические средства Interset визуализируют нехарактерные действия, отсеивая ложные сигналы путем повышения фактора риска, а затем предупреждают службу безопасности о необходимости принять меры.

Privileged Account Monitoring

Зарегистрироваться на презентацию

С какими ситуациями чаще всего сталкивается ваша компания? Зарегистрируйте одного из своих специалистов по безопасности для просмотра презентации, посвященной возможностям платформы Interset UEBA.

release-rel-2020-5-1-4412 | Tue May 12 22:32:04 PDT 2020
4412
release/rel-2020-5-1-4412
Tue May 12 22:32:04 PDT 2020