Interset UEBA | 使用案例

Interset UEBA 借助机器学习和 AI 功能,使您的 SOC 团队更有效地进行威胁搜寻、分类和调查的示例。

内部威胁检测

内部威胁检测

员工、合同工、合作伙伴和特权用户均可变成内部威胁。他们很难被发现,如果成功,其后果将是毁灭性的。Interset 平台为安全团队提供了跨端点、服务器、网络甚至是数 TB 的日志数据可视性。

Interset 是唯一可以提供从后端到端点的内部威胁的完整图片的威胁检测平台。Interset 可以通过机器学习创建正常过程的整体图。发现异常或高风险活动后,它将这些事件与所涉及的用户联系起来,提高他们的风险评分(从根本上将误报率降到最低),并在清晰、可操作的交互式界面中呈现事件的上下文。Interset 可检测和揭露内部威胁,同时让安全团队能够更加快速、高效工作,减轻威胁。

目标攻击检测

目标攻击检测

当今的网络攻击甚至经常会穿透复杂的纵深防御边界。公司必须监测器网络内部的威胁。但是,筛选大量事件数据通常会产生大部分误报。Interset 建立在真正的大数据平台上,可提取并分析大量数据,以快速、准确地发现攻击。

Interset 可以检测、连接和可视化攻击路径 - 从受到破坏的账户到横向移动、数据侦察、数据分段和数据移动,以进行渗透。在这种情况下,Interset 可以随着攻击的发展而迅速地进行攻击。立即为分析师提供事件可视化和工作流程,进行有效的验证、调查和响应。

敏感数据和 IP 保护

敏感数据和 IP 保护

许多客户将 Interset 部署在以数据为中心的安全程序中,因为该分析为数字资产(包括存储库中的项目、共享驱动器、服务器等)提供了风险分摊。

Interset 还是唯一提供自己的端点传感器,并将端点数据与后端存储库和目录数据相关联的安全分析供应商。该平台将行为分析应用于 IP 存储库的应用程序日志(例如源代码管理 (SCM)),独具一格地解决后端可见性问题。Interset 可以为分析师识别高风险的活动,以便他们在出现漏洞之前阻止不良行为。

端点 EDR

端点检测和响应

端点检测和响应 (EDR) 解决方案提供了最为详细和准确的威胁检测数据。安全团队可结合使用可分析数十亿个端点事件的 UEBA,快速、有效地检测到账户入侵、横向移动、内部侦查或数据泄露的迹象。Interset UEBA 提供了新的用户信息亮点,例如异常的登录频率、工作日期或时间或不寻常的机器,从而增加了有价值的上下文,帮助检测难以发现的威胁。 

将 Interset 的 UEBA 与 CrowdStrike 丰富的端点数据结合起来,迅速发现难以发现的威胁,例如来自内部人员或针对性攻击的威胁。将数十亿个事件提炼到少数优先的威胁线索,从而消除警报疲劳,使 security operations 中心能够专注于真正重要的威胁,从而无缝响应威胁。

优化 Security Operations

优化 Security Operations

尽管 SIEM、DLP、IAM 和 NAC 产品是当今 security operations 中心的基石,同时也造成了安全漏洞 – 太多的误报和过于复杂的策略结构降低了安全运营中心准确检测、验证和响应威胁的能力。分析师也浪费了太多时间猜测哪些是真正的威胁。Interset 高级分析平台的创建是为了最大程度地利用现有安全工具,并优化security operations

Interset UEBA 将从现有安全工具(例如 ArcSight)收集的数据进行关联,在系统和应用程序级别提供用户和服务账户、authentication 以及访问的企业范围视图。该平台还可以洞察高风险数据的访问和移动,自动将上下文数据反馈回您的 SIEM 或事件响应工具。它可发起 API 调用,在authentication、DLP 或 NAC 系统中激活 IT 控件。

账户泄露检测

账户泄露检测

账户泄露可能导致网络钓鱼、恶意软件或data breach。攻击者窃取客户和员工凭证以获得经济利益,或访问其他应用程序和网络中的敏感数据。在先进的机器学习的推动下,Interset 平台采用了 60 多种算法,专注于用户和服务账户之间的账户泄露检测。Interset 还是唯一可以将来自多个代码协作和版本控制软件程序的端点、目录、ACL 和应用程序日志中的指示符关联起来的安全分析产品。它覆盖了所有类型的账户攻击。

Interset的广泛可见性使安全团队能够检测到账户泄露,并将这些攻击与相关的 IOC 关联起来。换言之,它不仅能够快速、准确地发现威胁,还可以在攻击到达目标之前就进一步提供攻击所依据的上下文信息。

威胁追踪线索生成

威胁追踪线索生成

Interset 在到达目标之前会先发动攻击。这只是开始。然后,它将协助安全分析人员验证该攻击,与企业的事件响应流程集成,并向组织中的团队提供事件信息。该 UI 提供了攻击的三维图,这对于实时了解如何阻止攻击至关重要。实体风险视图为分析人员提供了攻击时间表、风险趋势和新异常情况的可视化视图。时间线视图还可以包括来自其他安全产品的警报以及与攻击有关的威胁情报信息。它可以优化验证和响应进程。

Interset 平台包括 Kibana/Elasticsearch 开放式集成,并且能够为 Elasticsearch 引擎中的任何数据运行历史分析。调查人员和威胁追踪人员可以一键访问事件的深层次事件级别信息。此外,全套 REST API 和与多个下游系统(例如 DXL、Phantom、Splunk)的本地集成优化了响应和调查进程,为安全团队提供了阻止攻击所需的工具,防止数据被盗。

特权账户监控

特权账户监控

Edward Snowden 和其他人的高知名度事件提醒我们,我们对privileged accounts是多么的盲目。如果员工属于威胁,或者其凭证已被破坏,则访问这种类型的账户可能会导致重大损失。

对于每个特权账户,Interset 都会将时间、authentication、访问、应用程序使用以及数据移动等行为计入因素,将其划分为 30 种左右不同类型的行为基线。账户偏离基准时,Interset 的分析将可视化特权用户的活动,通过风险评分排除误报,然后警告安全团队采取措施。

申请 Interset UEBA 演示

哪些用例是您企业的头等大事?与我们的一位安全专家一起计划观看演示,了解 Interset UEBA 如何为您提供工具,让您的 SOC 如虎添翼
release-rel-2020-9-2-5123 | Tue Sep 15 18:06:14 PDT 2020
5123
release/rel-2020-9-2-5123
Tue Sep 15 18:06:14 PDT 2020