Interset UEBA | 使用案例

Interset UEBA 由機器學習和人工智慧技術支援,可讓 SOC 團隊更有效地搜尋、分級和調查威脅。

偵測內部威脅

偵測內部威脅

員工、承包商、合作夥伴和特權使用者都可能成為內部威脅。這類威脅不易發現,一旦成功就會對企業造成巨大損失。Interset 平台讓安全團隊能全盤掌握端點、伺服器、網路,甚至是數 TB 的日誌資料。

Interset 是唯一一個能夠提供完整內部威脅影像的威脅偵測平台,無論是來自後端或端點的攻擊,通通都不放過。透過機器學習技術,Interset 可以為正常程序建立全方位的影像。發現異常或高風險活動後,該平台會將這些事件與相關使用者建立關聯,以提高這些使用者的風險分數(徹底降低誤報率),並在可採取動作的互動式介面上清楚顯示該事件的相關內容。Interset 能夠偵測並找出內部威脅,同時讓安全團隊以更快、更有效率的方式來緩解這些風險。

偵測鎖定目標的攻擊

偵測鎖定目標的攻擊

現今的網路攻擊經常能夠滲透複雜的縱深防禦安全架構,因此各公司都必須在網路環境中監控這類威脅。但是,篩選大量事件資料的過程常常會導致許多誤報情形。Interset 建立在真正大數據平台上,可整合並分析大量數據,以快速準確地進行表面攻擊。

Interset 能夠偵測、連結和視覺化攻擊路徑,從帳戶遭入侵到水平擴散、資料偵察、資料暫存和資料外流等風險都能一一找出,為您提供滴水不漏的防護。透過關聯式資訊,Interset 就能在攻擊者展開行動的同時,迅速找出這些威脅。分析人員也能立即取得以視覺方式呈現的事件資訊和工作流程,有效地完成驗證、調查與回應作業。

保護敏感資料與 IP

保護敏感資料與 IP

許多客戶會選擇將 Interset 部署在以資料為主的安全程式中,這是因為其分析功能可提供數位資產(包括儲存機制中的專案、共用磁碟機和伺服器等)的風險分數。

Interset 也是唯一一個提供專屬端點感應器的安全性分析供應商,其還具備將端點資料與後端儲存機制及目錄資料相互關聯的能力。該平台會將行為分析技術應用至原始程式碼管理 (SCM) 等 IP 儲存機制的應用程式日誌,以獨特的方式來解決後端可見度問題。Interset 可以為分析人員辨識高風險活動,讓他們可以在出現安全漏洞前,及早阻止不良行為。

端點 EDR

端點偵測和回應

端點偵測和回應 (EDR) 解決方案可為您提供最詳盡且最精準的威脅偵測資料。安全團隊可將該方案與能分析數十億筆端點事件的 UEBA 搭配使用,藉以迅速而有效地偵測是否有帳戶遭入侵、水平擴散、內部偵查或資料外流的跡象。Interset UEBA 讓您可從全新角度來分析使用者資訊,例如不尋常的登入頻率、作業日期或時間或異常機器等等,藉此創造更多有價值的內容,協助偵測難以發現的威脅。 

Interset 的 UEBA 整合了 CrowdStrike 豐富的端點資料,讓企業得以快速找出不易發現的威脅,像是來自內部攻擊者或鎖定目標的攻擊。這款解決方案可將數十億筆端點事件精簡成一些需要優先處理的情報資訊,減緩警示疲乏的現象,讓 security operations 中心能夠專注處理真正重要的威脅,以更順利地做出回應。

最佳 Security Operations

最佳 Security Operations

雖然 SIEM、DLP、IAM 和 NAC 產品在現今的安全運作中心內扮演相當關鍵的角色,但這些產品同時也造成許多安全漏洞,像是太多誤報和過於複雜的原則結構等因素,都會讓 security operations 中心逐漸失去精準偵測、驗證及回應威脅的能力。分析人員總是浪費太多時間猜測哪些威脅會真正影響系統,而 Interset 的進階分析師平台經過精心設計,專門用於提高現有安全工具的成效和最佳化security operations

Interset UEBA 會為從現有安全工具(如 ArcSight)收集到的資料建立相互關聯,讓整個企業都能在系統與應用程式層級中查看使用者和服務帳戶、authentication 與存取權限。該平台還可深入分析存取與移動高風險資料的行為,自動將內容相關的資料回饋給 SIEM 或事件回應工具。另外,您也可透過該平台呼叫 API,藉此在authentication、DLP 或 NAC 系統中啟動 IT 控制項。

偵測遭入侵帳戶

偵測遭入侵帳戶

網路釣魚、惡意軟體或data breach都可能造成帳戶遭到入侵。攻擊者會透過竊取客戶和員工的憑證來賺錢,或是存取其他應用程式與網路中的敏感資料。Interset 的平台由進階機器學習技術驅動,可運用 60 種以上的演算法,讓相關人員能專注地針對使用者與服務帳戶來偵測帳戶遭入侵情形。同時,Interset 也是唯一一款能夠建立指標相互關聯的安全性分析產品,其中包括來自多個程式碼協同作業與版本控制軟體程式的端點、目錄、ACL 及應用程式日誌指標,讓您不會錯過任何以帳戶為主的攻擊類型。

Interset 的可見範圍相當廣泛,這讓安全團隊得以偵測帳戶入侵跡象,並將這些攻擊與相關的 IOC 建立關聯。換句話說,該產品不僅能快速而精準地找出威脅,還可以進一步提供與攻擊行為相關的資訊,避免其目標受到影響。

產生威脅追蹤情報

產生威脅追蹤情報

Interset 能夠及早發現攻擊行為,以免其目標受到影響。不過,這只是最基本的功能。接下來,該產品還會繼續協助安全性分析人員驗證該攻擊行為、整合企業的事件回應程序,並向整個組織中的團隊提供事件情報。此外,使用者介面 (UI) 還會提供攻擊事件的立體影像,這項重要的資訊有助於相關人員即時掌握阻止該攻擊的方式。藉由企業實體風險檢視畫面,分析人員能查看視覺化攻擊時間軸、風險趨勢與新的異常情況,迅速掌握攻擊事件的發展。時間軸檢視畫面還可包含來自其他安全性產品的警示,以及與攻擊相關的威脅情報資訊。如此一來,企業便可將驗證與回應程序最佳化。

Interset 平台包含 Kibana/Elasticsearch 開放式整合功能,且可針對 Elasticsearch 引擎中的所有資料執行歷史分析。只要按一下,調查人員和威脅追蹤人員就能深入存取事件的事件層級資訊。而且,RESTful API 與多個下游系統(如 DXL、Phantom、Splunk 等)的原生整合功能可將回應和調查程序最佳化,讓安全團隊能夠取得阻止攻擊行為所需的工具,防止資料遭到外洩。

監控特權帳戶

監控特權帳戶

愛德華史諾登 (Edward Snowden) 和其他類似的知名事件一再提醒我們,我們對privileged accounts的信賴是多麼盲目,輕忽其行動所帶來的風險。如果員工會造成資安威脅或其憑證遭外洩,則存取這類帳戶可能導致重大損失。

Interset 會將每個特權帳戶的行為列入評估要素,像是時間、authentication、存取權限、應用程式用量及資料移動情形等,並將這些行為劃分成 30 種不同類型的基準。當帳戶的行為偏離基準時,Interset 的分析功能就會以視覺方式呈現特權使用者活動,並藉由風險分數排除誤報情況,接著警告安全團隊採取行動。

索取 Interset UEBA 的演示

哪些使用案例是貴企業關心的首要問題?立即安排一位安全專家向您進行產品演示,以瞭解 Interset UEBA 提供的工具如何讓 SOC 團隊如虎添翼
release-rel-2020-9-2-5123 | Tue Sep 15 18:06:14 PDT 2020
5123
release/rel-2020-9-2-5123
Tue Sep 15 18:06:14 PDT 2020