Zum Hauptinhalt springen

Was sind die besten 10 NDR-Tools?

Veröffentlicht am:
.
24 Minuten Lesezeit
.
Für die Englische Version

Um sich gegen die steigende Anzahl von Cyberangriffen zu verteidigen, nutzen Unternehmen eine Vielzahl von Sicherheitslösungen, um ihre Cyberabwehr zu stärken und zu verhindern, dass Hacker Schwächen ausnutzen, um in das Unternehmensnetzwerk einzudringen. Traditionelle Sicherheitsmaßnahmen wie Firewalls, IDS/IPS und SIEM reichen nicht mehr aus, um raffinierte Angriffe wie die von staatlichen Akteuren unterstützten oder von organisierten kriminellen Gruppen durchgeführten zu stoppen. Jüngste Datenverletzungen zeigen eindrucksvoll, dass solche Lösungen Bedrohungsakteure nicht aufhalten können. Traditionelle Sicherheitslösungen haben ebenfalls blinde Flecken, und die meisten von ihnen können nicht auf Internet-of-Things-Geräten betrieben werden. Dies hinterlässt ein großes Loch, das Cyberkriminelle zu ihrem Vorteil nutzen können. Netzwerkerkennungs- und Reaktionslösungen (NDR) sind entscheidend, da sie Unternehmen eine zusätzliche Ebene der Netzwerksicherheit und Bedrohungsprävention bieten.

Sie benötigen NDR aus all den oben genannten Gründen, weil es Ihnen kontinuierlichen Cybersicherheitsschutz bietet, der Sie vor, während und nach einem Vorfall schützt. Ihr Cybersicherheitsteam wird von den automatisierten Aspekten von NDR profitieren, da sie Zeit und Geld sparen und ihnen Zugang zu wichtigen Echtzeitwarnungen und Analysen geben, die ihnen helfen, Systemanfälligkeiten zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.

In diesem Beitrag werden wir besprechen, wie man eine Netzwerk-Detektions- und Reaktionslösung für Ihr Unternehmen auswählt, sowie die zehn besten NDR-Lösungen. Darüber hinaus werden wir die Fähigkeiten des Produkts, wichtige Funktionen, Stärken und Schwächen, Kosten, Benutzerfreundlichkeit und Servicequalität durchgehen.

Wie wählen Sie eine Netzwerk-Detektions- und Reaktionslösung für Ihr Unternehmen aus?

Bei der Auswahl einer Netzwerk-Erkennungs- und Reaktionslösung für Ihr Unternehmen müssen Sie viele verschiedene Aspekte berücksichtigen. Hier sind drei verschiedene Kombinationen, die Sie bei der Auswahl eines NDR-Tools für Ihre Organisation berücksichtigen sollten:

  1. Verwaltete Erkennung und Reaktion: Verwaltete Erkennung und Reaktion als Dienstleistung umfassen Technologien zur Sammlung von Informationen aus Ihrem Netzwerk, Erkennungsanalysen zur Identifizierung anomalem Verhaltens und Analysten, die Untersuchungen durchführen, bestätigen und Reaktionsoperationen anhand vordefinierter Playbooks durchführen.

    Um festzustellen, ob Managed Services für Sie geeignet sind, fragen Sie, wie der Anbieter Bedrohungsjäger und Analysten gewinnt und hält.

  2. Betrieben: Betrieben - In der Mitte sind Sie verantwortlich für die Technologie, die Personen, die sie nutzen werden, und die Prozesse für Reaktion, Wiederherstellung und Aufzeichnung. Viele Organisationen haben sich auf diese Weise entwickelt, aber sie lernen, dass es schwieriger ist, dies aufrechtzuerhalten.

    Um festzustellen, ob Operated Ihnen am besten dient, berücksichtigen Sie die folgenden Fragen: Was sind die Ressourcenkosten, insbesondere wie der Einsatz von Ressourcen für Sicherheit die aktuellen Initiativen als Opportunitätskosten beeinflussen kann?

  3. Automatisiert: Automatisierung liegt am technologischen Ende des Spektrums: SOAR und andere Ansätze verwenden präventive und detektive Kontrollen und integrieren sie, um eine technologiebestimmte Aktion durchzuführen.

Um festzustellen, ob automatisiert die beste Option für Sie ist, ziehen Sie die folgende Frage in Betracht:

  • Was ist das schlimmste Szenario für ein falsch-positives Ergebnis?

Um festzustellen, ob verwaltet, betrieben oder automatisiert ideal für Sie ist, berücksichtigen Sie die folgenden Fragen:

  • Wie schnell oder einfach ist die Bereitstellung?
  • Ist die Lösung in der Lage, alle Ihre Datenquellen zu erfassen und zu analysieren?

Aber um den größten Nutzen zu erzielen, sollten Käufer an drei wichtige Dinge denken, wenn sie eine Netzwerk-Detektions- und Reaktionslösung für ihr Unternehmen auswählen:

  1. KI und maschinelles Lernen: Halten Sie sich von "Black-Box"-Lösungen fern, die weitgehend auf unbeaufsichtigtes maschinelles Lernen angewiesen sind. Diese Art von Dienstleistungen verursacht einen erheblichen operativen Aufwand in Form von falsch positiven und negativen Ergebnissen und gibt dem Analysten keine Erklärung dafür, warum etwas als Problem gemeldet wurde.

  2. Daten: Anstatt sich nur auf NetFlow- oder IDS-Warnungen zu verlassen, suchen Sie nach Lösungen, die das gesamte Paket analysieren. Aufgrund der erhöhten Sichtbarkeit kann die Lösung relevantere Bedrohungen erkennen.

  3. Anwendungsfälle: Ersetzen Sie aktuelle Lösungen für Netzwerkforensik, Bedrohungserkennung usw., um die Werkzeugverbreitung zu reduzieren. Ihre Sicherheitsaktivitäten werden dadurch konsolidiert und modernisiert, was die Produktivität des Teams erhöht.

Wie bei jeder anderen Sicherheitsmaßnahme verbessert der Erwerb eines neuen NDR-Tools nicht automatisch die Sicherheit. Käufer müssen bei der Auswahl eines technologischen Stacks die betrieblichen Auswirkungen berücksichtigen.

Bei der Auswahl einer NDR-Lösung sollten einige wichtige Fragen zur zugrunde liegenden Methodik aufgeworfen werden:

  • Wie einfach ist es, den Erkennungsmechanismus zu überlisten?
  • Ist das KI-NDR-System vollständig oder teilweise regelbasiert? Falls ja, wie viel Arbeit steckt in der Pflege und Verfeinerung des Regelwerks? Im heutigen Sicherheitsumfeld ändern sich Angriffsvektoren schnell, viel schneller, als Regeln erstellt werden können. Regelbasierte Daten können als Kontext hilfreich sein, sollten jedoch nicht als Hauptquelle von Daten verwendet werden. Der Kern des maschinellen Lernsystems sollte in der Lage sein, sich an Änderungen im Netzwerk anzupassen und nicht an feste Regeln gebunden zu sein.
  • Was passiert mit dem Netzwerk, wenn wir ein neues Subnetz oder einen neuen Router hinzufügen? Soll das NDR-System alles neu lernen? Das Lernen in einem kommerziellen Machine-Learning-System kann sechs bis vierundzwanzig Monate dauern. Die Methodik ist von begrenztem Nutzen, wenn dieser Zyklus jedes Mal auftritt, wenn ein neues Element in das Netzwerk aufgenommen wird. Das KI-System muss sich automatisch an die sich ändernden Netzwerkbedingungen anpassen, ohne eine lange zusätzliche Lernphase zu benötigen.
  • Wie hoch ist der Prozentsatz der falsch-positiven Erkennungen? Wie hoch ist die Rate der falsch-negativen Ergebnisse? Die Reaktionskomponente von NDR hängt stark von der Genauigkeit der Erkennung ab. Wenn ein Subnetz aufgrund eines Fehlalarms abgeschaltet wird, funktioniert das Netzwerk möglicherweise nicht wie vorgesehen. Es gibt viele falsch-positive und falsch-negative Ergebnisse in regelbasierten Systemen und Systemen, die Labeling für überwachtes Lernen verwenden. Die Falsch-Positiv-Raten sind häufig hoch in unüberwachten Systemen, die Clustering- und Bayes'sche Techniken verwenden.
  • Nicht zuletzt sollten effektive Systeme zur Erkennung und Reaktion auf Netzwerke entwickelt werden, um Unternehmen einen klaren Überblick über ihre Cyber-Topographie sowie über alle Strategien und Techniken zu geben, die Angreifer nutzen, um in Netzwerke einzudringen, sie zu übernehmen und sich dort einzunisten.

Der beste Weg, mit einer Bedrohung umzugehen, hängt davon ab, wie viele Informationen Sie haben, genau wie der beste Weg, Bedrohungen zu finden. Daher sollten Netzwerkerkennungs- und Reaktionssysteme eine hohe Priorität darauf legen, den Incident-Responders die Werkzeuge zu geben, die sie benötigen, um schnell und risikobasiert zu handeln. Zusätzlich zu den erforderlichen Werkzeugen und Automatisierungen, um Probleme so schnell wie möglich zu beheben, ist es unerlässlich, Sichtbarkeit in alles zu haben, von Netzwerk- und Cloud-Verkehr bis hin zu Endpunktverhalten.

Die besten 10 Lösungen für NDR

Die Angriffsfläche des Unternehmensnetzwerks hat sich aufgrund der breiten Einführung der digitalen Transformation und verwandter Technologien wie Cloud-Computing, BYOD und IoT erheblich vergrößert, was neue Sicherheitsrisiken und Schwachstellen aufdeckt. Ein weit verbreitetes Missverständnis ist, dass Technologien wie Endpoint Detection and Response (EDR)-Systeme, Security Information and Event Management (SIEM) und andere ähnliche Werkzeuge ein Unternehmen angemessen sichern können.

Während EDR-Systeme nur ein niedriges Bild von verdächtigen Prozessen und Interaktionen innerhalb von Netzwerk-Hosts bieten, haben SIEMs hingegen blinde Flecken. Ein entschlossener Angreifer könnte in der Lage sein, EDR-Tools zu deaktivieren oder zu umgehen. Werkzeuge zur Netzwerkerkennung und -reaktion untersuchen Netzwerkdaten mithilfe von nicht-signaturbasierten Methoden wie maschinellem Lernen. Sie erstellen eine Basislinie anhand der Daten, und wenn sie ungewöhnliche Aktivitäten bemerken, benachrichtigen sie die Nutzer. Da NDR-Lösungen die Fähigkeit zur Handlung umfassen, werden sie als mehr als nur Netzwerkverkehrsanalyse angesehen. Bedrohungserkennung, Incident Response und das Anweisen der Firewall, ein verdächtiges Paket abzulehnen, sind einige Beispiele.

Aufgrund der Vielzahl an Möglichkeiten ist es schwierig, die beste NDR-Lösung für Ihre geschäftliche und finanzielle Situation auszuwählen. Die besten Werkzeuge für die Netzwerküberwachung und -reaktion sind unten aufgeführt:

  1. Arista NDR von Arista Networks

  2. Blue Hexagon von Blue Hexagon

  3. Cisco StealthWatch von Cisco

  4. Darktrace von Darktrace

  5. ExtraHop Reveal(x) von ExtraHop

  6. IBM QRadar

  7. IronNet von IronNet

  8. LogRhythm

  9. RSA NetWitness von RSA

  10. Vectra AI von Vectra

Arista NDR

Das Arista-Sicherheitssystem unterscheidet sich von herkömmlicher Sicherheit, da es so konzipiert ist, wie das menschliche Gehirn. Verteidiger haben dank ihrer Fähigkeit, böswillige Absichten zu erkennen und im Laufe der Zeit zu lernen, eine verbesserte Sichtbarkeit und ein besseres Verständnis dafür, welche Risiken bestehen und wie darauf reagiert werden kann.

Die Grundlagen der Bereitstellung von einheitlichen Zero-Trust-Sicherheitsnetzwerken durch Arista NDR verbessern die Servicequalität. Aristas Prinzipien des Zero-Trust-Netzwerks basieren auf NIST 800-207. Die Arista NDR-Plattform untersucht unzählige Datenpunkte, erkennt Bedrohungen oder Anomalien und reagiert nach Bedarf, alles in Sekundenschnelle, für die gesamte Bedrohungslandschaft des Unternehmens.

Die Benutzerfreundlichkeit von Arista NDR ist umfassend. Sicherheitsteams können dank der nahtlosen Interaktion von Arista NDR mit bestehenden Sicherheitsinvestitionen schnell und einfach hochriskante Vorfälle und kompromittierte Entitäten auf einer einzigen Oberfläche anzeigen, ohne dass Agenten, manuelle Konfiguration oder schwierige Schnittstellen erforderlich sind.

Die Produktfähigkeiten von Arista NDR können wie folgt aufgelistet werden:

  • Beobachten Sie die Plattform und entwickeln Sie Ihr eigenes Verständnis der Verbindungen und Parallelen zwischen den Entitäten.

  • Verfolgen Sie jedes Asset, während es über das Netzwerk reist, und achten Sie auf schädliche Absichten bei den Entitäten.

  • Gewinnen Sie ein besseres Bewusstsein für jede Person, jedes Gerät und jede Anwendung, unabhängig davon, ob sie verwaltet werden oder nicht.

  • Automatisieren Sie die Bedrohungssuche und erstellen Sie spezialisierte Erkennungsmodelle für unterschiedliche Risiken, damit Sicherheitsanalysten kontextbezogen auf Angriffe reagieren können.

  • Verschaffen Sie sich ein umfassendes Bild der möglichen Angriffsfläche der Unternehmensumgebung und der damit verbundenen Geschäftsressourcen.

  • Identifizieren und verstehen Sie die Absichten der Netzwerkaktivitäten, damit die Verteidigungsmaßnahmen der Organisation sich auf die schwerwiegendsten Risiken konzentrieren können.

  • Zugriff über detaillierte, beschreibende und investigative Antworten, die Bedrohungen und Ereignisspezifika kontextualisieren

Um die richtigen Maßnahmen zu ergreifen, sammeln Sie relevante Informationen über die Entitäten, die das größte Geschäftsrisiko darstellen.

  • Anstatt bei Warnmeldungen haltzumachen, nutzen Sie die Plattform, um Bedrohungen unabhängig zu untersuchen und geben Sie den Sicherheitsteams Zugang zur gesamten Ereigniskette über Organisationen, Protokolle und Zeit hinweg.

  • Um die aktuellen Investitionen zu verbessern, teilen Sie Ihr Wissen mit den Abteilungen für IT-Infrastruktur und Sicherheit.

  • Die Bosheit, die jeder Entität zugedacht ist, kann durch die Betrachtung der Beweise bestimmt werden, die im Laufe der Zeit unvermeidlich miteinander verbunden sind.

  • Um Verteidigern nützliche Beweise zu liefern, stellen Sie forensische Artefakte und Zeitangaben zur Verfügung.

Die Stärken von Arista NDR sind unten aufgeführt:

  • Zentralisierte Plattform: Eine zentralisierte Plattform, die spezifische KI-gesteuerte Sicherheits-Detektions- und Reaktionsverfahren verwendet, um 100-mal mehr Echtzeit-Netzwerkdaten zu erfassen, zu verarbeiten und zu speichern. Organisationen können die Plattform nutzen, um ein einheitliches Verständnis ihrer Sicherheitslage über hybride Netzwerke hinweg zu erlangen.

  • EntityIQ: Die Geräte, Benutzer und Anwendungen eines Unternehmensnetzwerks können alle mithilfe eines Sicherheits-Wissensgraphen identifiziert und profiliert werden.

  • AVA AI: AVA AI ist das erste Sicherheits-Entscheidungsunterstützungssystem der Welt, das Sicherheitspersonal mit End-to-End-Szenarien anstelle einer Fülle von sinnlosen Alarmen präsentiert.

  • Adversarial Modeling: Eine Methode, die Bausteine verwendet, um selbst die ausgeklügeltsten Angriffsstrategien zu vermitteln

Blue Hexagon

Mit Hilfe von Deep Learning und künstlicher Intelligenz bietet Blue Hexagon eine Echtzeitplattform, die unsere Fähigkeit, aktuelle und aufkommende Bedrohungen zu erkennen, erheblich verbessert.

Einige Fähigkeiten von Blue Hexagon sind unten aufgeführt:

  • Die Cloud-Sicherheitsplattform von Blue Hexagon bietet Unternehmen einen Weg nach vorne. Mit Hilfe der Lösung schützt der Kunde seine Cloud (Cloud-Sichtbarkeit, Cloud-Compliance und Bedrohungserkennung) sowie identifiziert Live-Bedrohungen.

  • Fast 100% der Bedrohungen werden von Blue Hexagon in weniger als einer Sekunde genau identifiziert, das sich auch nahtlos in die Cloud-Infrastruktur für Sichtbarkeit und Durchsetzung integriert.

  • Blue Hexagon stellt schnell eine Verbindung zu Ihren Cloud-Ressourcen her, indem es CSP-APIs nutzt, um Multi-Cloud-Unternehmen eine agentenlose, cloud-skalierbare SaaS-Lösung bereitzustellen.

Die Servicequalität und Stärken von Blue Hexagon lassen sich wie folgt erklären: Die Cloud-Sicherheitsplattform von Blue Hexagon kann sich in nur wenigen Minuten ohne Agenten mit Ihrer Cloud-Infrastruktur verbinden, indem sie die eigenen APIs des Cloud-Service-Anbieters verwendet. Es sammelt dann Rohdaten zu Ressourcen in jeder Region und jedem Konto, deren Konfigurationen, Aktivitäten im Cloud-Control-Plane, Netzwerkaktivitäten, Speicheraktivitäten und serverlosen Paketen.

Die Blue Hexagon-Plattform in der Mitte analysiert diese Rohdaten mit ihren Deep-Learning-Modellen, um seltsame Verhaltensmuster im Steuerungsebenen und Datenebenen der Cloud zu finden, wie z.B. Beaconing, Command-and-Control und Windows- und Linux-Malware. Auch Deep-Learning-Modelle bieten frühen Zugang zu Bedrohungsinformationen über IOCs und IOBs, die verwendet werden können, um die Rohdaten zu betrachten. Die Plattform bietet SecOps-Teams auch die Möglichkeit, ihre eigenen Detection-as-Code zu erstellen (z.B. um spezifische MITRE ATT&CK-Verhaltensweisen zu identifizieren), um die nativen Erkennungen der Plattform zu ergänzen oder zu korrelieren.

Sechs spezifische Ergebnisse werden für DevOps- und SecOps-Teams als Ergebnis der Aufnahme, Analyse, Indizierung und des Deep-Learning-Urteils über die Rohdaten der Cloud erzeugt.

Blue Hexagon findet Hunderte von Fehlkonfigurationen bei über 100 verschiedenen Diensten in AWS, Azure, GCP und OCI. Es ermöglicht Ihnen auch, zu sehen, was sich in Ihrem Inventar befindet und was in der Cloud vor sich geht, und es hilft Ihnen, viele Standards wie CIS, HIPAA und PCI zu erfüllen. Die 12 von 20 CIS-empfohlenen Kontrollen, die Blue Hexagon abdeckt

Die Benutzerfreundlichkeit von Blue Hexagon umfasst: Die Cloud-Sicherheitsplattform von Blue Hexagon kann sich ohne Agenten mit Ihrer Cloud-Infrastruktur verbinden. Dies geschieht durch die Verwendung von cloud-nativen APIs, um Informationen für die Sicherheitsanalyse zu sammeln. Als Beispiel wird Blue Hexagon kontinuierlich alle AWS CloudTrail-, VPC Flow Log-, VPC Traffic Mirroring-, Konfigurations- und S3-Transaktionsdaten importieren.

Um Sichtbarkeit, Jagd und Alarmierung über verschiedene Clouds, mehrere Standorte und zahlreiche Konten hinweg zu bieten, werden diese Rohdaten in einer einzigen SaaS-Oberfläche angereichert, konsolidiert und indiziert.

Die Ausgabe des Systems, wie Sicherheitsbefunde und Konfigurationsfehler, kann anschließend an mehrere Reaktionstools weitergeleitet werden. Diese Reaktionstools sind SIEM, Perimeter, Workflow/Kollaboration und Endpoint.

  • SIEM: Sicherheitsentdeckungen und begleitende Rohmetadaten können in Systeme wie Azure Sentinel, Splunk oder AWS Security Hub hochgeladen werden, um zusätzliche Analysen oder Korrelationen mit anderen Tools durchzuführen.

  • Perimeter: IOCs, die aus Sicherheitsentdeckungen gewonnen wurden, wie bösartige IP-Adressen, Domainnamen oder Hashes, können als Regeln an Perimetersicherheitslösungen gesendet werden.

  • Workflow/Kollaboration: Sicherheitsentdeckungen können zu Kollaborationstools wie Slack oder Ticketing-Tools wie Jira hinzugefügt werden, um weitere Untersuchungen oder Korrekturen vorzunehmen.

  • Endpunkt: Um Angriffe zu vermeiden, können Sicherheitsinformationen über bösartige oder schadhafte Netzwerkteilnehmer oder infizierte Geräte mit EDR- oder EPP-Lösungen bereitgestellt werden.

Cisco StealthWatch

Skalierbare Sicherheitsanalysen und Sichtbarkeit in Ihrer gesamten Organisation mit branchenführendem maschinellem Lernen und Verhaltensmodellierung, angeboten von Secure Network Analytics (ehemals Stealthwatch), ermöglichen es Ihnen, neuen Gefahren in Ihrem digitalen Geschäft einen Schritt voraus zu sein. Nutzen Sie Telemetrie aus Ihrer Netzwerkarchitektur, um herauszufinden, wer das Netzwerk nutzt und was sie tun. Identifizieren Sie ausgeklügelte Bedrohungen und ergreifen Sie umgehend Maßnahmen, um ihnen entgegenzuwirken. Verbesserte Netzwerksegmentierung wird Ihnen helfen, wichtige Daten zu schützen. Verwenden Sie eine agentenlose Lösung, die mit Ihrer Organisation wächst, um all dies zu erreichen.

Die Hauptfunktionen von Cisco StealthWatch sind wie folgt:

  • Erhalten Sie umfassende Analysen und Sichtbarkeit: Finden Sie Bedrohungen in einem dynamischen Netzwerk mithilfe von hochpräzisen Warnungen, die durch Kontexte wie Benutzer, Geräte, Standorte, Zeitstempel und Anwendungen ergänzt werden. Untersuchen Sie verschlüsselten Datenverkehr auf Bedrohungen und Compliance, ohne ihn zu entschlüsseln.

  • Beschleunigen Sie die Reaktion auf Vorfälle und die Forensik: Nutzen Sie fortschrittliche Analysen, um neue Malware und Insider-Risiken schnell zu identifizieren, einschließlich Datendiebstahl, Verstöße gegen Richtlinien und andere ausgeklügelte Angriffe.

  • Es reduziert die Komplexität der Netzwerksegmentierung: Intelligentere Segmentierungsrichtlinien können definiert werden, ohne das Geschäft zu stören. Erstellen Sie personalisierte Alarme, um unbefugten Zugriff zu identifizieren und die Einhaltung sicherzustellen.

  • Dies erhöht Ihre Sichtbarkeit in öffentlichen Clouds: Secure Cloud Analytics bietet SaaS-basierte Sichtbarkeit und Bedrohungserkennung über alle großen öffentlichen Cloud-Plattformen hinweg, ohne die Verwendung von Software-Agenten.

Die Verwendung von Cisco StealthWatch ist sehr einfach. Es bietet flexible Bereitstellungsoptionen für eine umfassende Sichtbarkeit. Darüber hinaus bietet Cisco StealthWatch Hardware- oder virtuelle Appliances, granulare Anpassungen, SecOps- und NetOps-Anwendungsfälle sowie luftdicht abgeschottete Netzwerke.

Zu den zusätzlichen benutzerfreundlichen Funktionen von Cisco StealthWatch gehören eine einfache Bereitstellung, automatisierte Anpassung, SecOps und leichte NetOps-Anwendungsfälle sowie die Überwachung von Meraki- und Container-Umgebungen, in denen die SaaS-basierte Cisco StealthWatch verwendet wird.

Darüber hinaus ist Cisco StealthWatch für alle Unternehmen geeignet, die serverlose Umgebungen als ihre öffentliche Cloud-Architektur nutzen, wie Microsoft Azure, Google Cloud Platform oder Amazon Web Services.

Die Vorteile von Cisco StealthWatch lassen sich wie folgt erklären: Cisco Secure Network Analytics, das Geschäftsdaten aus der aktuellen Netzwerkarchitektur nutzt, ist die umfassendste Lösung für Sichtbarkeit, Netzwerkverkehrsanalyse (NTA) und Netzwerkdetektion und -reaktion (NDR). Es verwendet mehrschichtiges maschinelles Lernen und Asset-Modellierung, um Bedrohungen schneller zu finden, schneller darauf zu reagieren und die Netzwerksegmentierung zu erleichtern. Dank leistungsstarker Verhaltensanalysen werden Sie immer wissen, wer sich in Ihrem Netzwerk befindet und was er tut.

Ein einheitliches agentenloses System ermöglicht es Ihnen, das gesamte Netzwerk zu sehen, von dem, was vor Ort ist, bis hin zu dem, was in der Cloud ist. Außerdem ist es die einzige bekannte Lösung, die verschlüsselte Verkehrsanalysen verwendet, um sicherzustellen, dass Richtlinien eingehalten werden und um Malware in verschlüsselten Daten zu finden, ohne sie entschlüsseln zu müssen. Die Cisco SecureX-Plattform erweitert den Wert von Secure Network Analytics noch weiter und erstreckt sich über das Netzwerk und die Cloud bis hin zu Endpunkten, Anwendungen und mehr.

Sie können von den Schulungsmöglichkeiten profitieren, die Ihnen vom Customer Success Learning Services-Team angeboten werden. Um die Bereitstellung Ihrer Lösung zu verbessern und spezifische Geschäftsanforderungen zu erfüllen, können Sie mit dem Professional Services Team zusammenarbeiten. Das Team der Kundenbetreuer steht Ihnen rund um die Uhr zur Verfügung, um Sie bei der Implementierung, Fehlersuche und Verwaltung der Lösung zu unterstützen.

Endpoint-basierte Preisgestaltung ist verfügbar. Es gibt eine nutzungsbasierte Preisgestaltung, die auf der Menge der Protokolldaten basiert.

Darktrace

Darktrace DETECT betrachtet viele verschiedene Faktoren, um kleine Veränderungen zu finden, die eine wachsende Bedrohung bedeuten könnten, wie neue Malware oder Methoden, die noch nicht entdeckt wurden. Es ist eine NDR-Lösung, die Angriffe erkennt, die normalerweise unbemerkt bleiben, und zwischen bösartigen und harmlosen Aktivitäten unterscheidet.

Das erklärt, warum Darktrace einfach zu bedienen ist. Zunächst einmal, ob es nun in der gesamten Organisation oder in bestimmten Bereichen wie E-Mail implementiert wird, die Installationen von Darktrace erfolgen schnell. In etwa einer Woche lernt die Darktrace Self-Learning AI die Abläufe Ihres Unternehmens und wird mit jeder Sekunde individueller.

Zweitens werden Daten von Darktrace DETECT an Darktrace RESPOND gesendet, um bahnbrechende KI-gestützte Sicherheit zu bieten, die Angriffe neutralisiert, die Ihre Abläufe sofort und autonom stören könnten, und die darauf ausgelegt ist, Ihr Sicherheitsteam zu unterstützen.

Im Gegensatz zur herkömmlichen KI ist die Servicequalität von Darktrace einzigartig. Traditionelle künstliche Intelligenz (KI) stützt sich oft darauf, Risiken anhand vergangener Angriffsdatensätze und dokumentierter Methoden zu identifizieren, was die Bereinigung, Kennzeichnung und Verschiebung von Daten in ein zentrales Repository erfordert. Die selbstlernende KI in Darktrace DETECT verbessert kontinuierlich ihr Verständnis, während sich Ihre Umgebung verändert, indem sie "on the job" aus realen Daten lernt. Durch die Identifizierung von Schwachstellen und die Stärkung Ihrer Verteidigung senkt Darktrace Ihr Cyberrisiko.

Die wichtigsten Fähigkeiten von Darktrace sind unten aufgeführt:

  • Darktrace hat ein vollständiges Bewusstsein über das gesamte digitale Anwesen. Millionen von Datenpunkten und hochmoderne KI-Algorithmen beeinflussen die präzise Erkennung.

  • Im Jahr 2023 wird Darktrace eine Funktion einführen, die es Ihren Systemen ermöglicht, sich nach einem Cyberangriff zu erholen und den normalen Betrieb wieder aufzunehmen.

  • Die Bedeutung kompromittierter Dateien wird von Darktrace vor, während und nach einem Angriff umgehend bewertet.

  • Darktrace findet entscheidende Knoten in Computernetzwerken mithilfe der Graphentheorie.

  • Darktrace verwendet Korrespondenzsemantik, um fehlgeleitete E-Mails zu finden und zu stoppen.

  • Darktrace ermöglicht eine autonome Erkennung des beabsichtigten Zwecks eines Geschäftsinboxes auf Basis von Meta-Scoring, sodass es weiß, welche Geschäftsinboxes viele E-Mails erhalten sollten und welche nicht.

  • Darktrace verwendet Krypto-Mining-Anmeldeinformationen, um Insider-Risiken zu identifizieren und sie von weit verbreiteter Malware zu unterscheiden.

  • Darktrace maximiert die Sichtbarkeit, Sicherheit und Nutzung vielfältiger, komplexer Cloud- und SaaS-Systeme.

  • Darktrace ist ein Werkzeug zur Überwachung der Netzwerkaktivität und zur Erkennung von verdecktem Kryptowährungs-Mining.

ExtraHop Reveal(x)

Mit vollständiger Ost-West-Sichtbarkeit, Echtzeit-Bedrohungserkennung innerhalb des Perimeters und intelligenter Reaktion im großen Maßstab ist ExtraHop Reveal(x) Enterprise ein Durchbruch in der Netzwerkdetektion und -reaktion (NDR).

Die Fähigkeiten von Extrahop werden im Folgenden erläutert:

Sie können sich auf die Risiken konzentrieren, die wichtig sind, und mit der cloud-nativen Netzwerk-Erkennung und -Reaktion von ExtraHop 84% schneller Sicherheitsverletzungen stoppen.

Automatisieren Sie die Entdeckung und Identifizierung aller Unternehmensgeräte, einschließlich unmanaged und IoT-Geräte. Echtzeitüberwachung aller Workloads und East-West- sowie North-South-Transaktionen in AWS, Azure und Google Cloud. Zeilenratenentschlüsselung von SSL/TLS 1.3-verschlüsseltem Datenverkehr bietet umfassende Abdeckung, sodass Sie bösartige Geräte, Lieferanten, die wichtige Daten "nach Hause telefonieren", und Insider-Bedrohungen erkennen können.

Verwenden Sie die Verhaltensüberwachung in Cloud-Größe, die von Millionen von ML-Modellen und Tausenden von Netzwerksignalen unterstützt wird, um nach einem Sicherheitsvorfall fortgeschrittene Aktivitäten wie laterale Bewegung, Kommando- und Kontrollaktivitäten sowie Datenexfiltration zu erkennen. Erkennen Sie das gesamte

ExtraHop Reveal(x) hat verschiedene Dimensionen der Dienstgüte. Um die Genauigkeit und Präzision seines maschinellen Lernens aufrechtzuerhalten, entdeckt und kategorisiert ExtraHop Reveal(x) Netzwerk-Detection und -Reaktion automatisch jede Transaktion, Sitzung, jedes Gerät und Asset in Ihrem Unternehmen mit bis zu 100 Gbps, indem über 70 Unternehmensprotokolle decodiert und über 5.000 Merkmale extrahiert werden. Mit Reveal(x) 360 erweitert ExtraHop die SaaS-basierte Netzwerkdetektion und -reaktion in die Cloud.

Darüber hinaus ermöglicht ExtraHop Reveal(x) die vollständige Erkennung von Angriffen im späten Stadium durch die Nutzung von ML-basiertem Verhalten, Regeln und benutzerdefinierten Triggern. Auf diese Weise wissen Sie immer, welche Geräte in Ihrem Netzwerk aktiv sind, und können automatisch neue, nicht autorisierte und unmanaged Geräte erkennen.

ExtraHop Reveal(x) hat eine unterschiedliche Benutzerfreundlichkeit. Mit nur einem Klick erhalten Sie kontextbezogene Beweise und intelligente Reaktionsmöglichkeiten in ExtraHop Reveal(x). Dies erleichtert es, Bedrohungen schnell zu validieren und zu beheben.

Zweitens sortiert Reveal(x) Geräte automatisch in hochspezifische Verhaltens-Peer-Gruppen, sodass es seltsames Verhalten mit den wenigsten Fehlalarmen erkennen kann. Durch die automatische Entdeckung und Klassifizierung aller Geräte, die im Netzwerk kommunizieren, stellt Reveal(x) sicher, dass das Geräteinventar immer auf dem neuesten Stand ist, ohne manuellen Aufwand.

Für eine einfachere Triage und Reaktion kontextualisiert Reveal(x) Erkennungen aus einer gesamten Transaktion mit Bedrohungsinformationen, Risikobewertungen und der Kritikalität von Vermögenswerten.

Leistungsstarke Integrationen mit Produkten wie CrowdStrike, Phantom, Demisto und Palo Alto Networks ermöglichen es Ihnen, die Behebung zu automatisieren, während Reveal(x) die Erkennung und Untersuchung übernimmt.

In Minuten oder Stunden statt Tagen, validieren, priorisieren und die Ursache identifizieren. Automatisierte Reaktion unter Verwendung von Orchestrierung, Firewalls und vertrauenswürdigen Endpunkt-Partnern. ExtraHop verkürzt die Zeit bis zur Lösung, indem es Untersuchungen so einfach wie ein paar Klicks macht und automatische Reaktionswerkzeuge integriert, um die MTTR zu senken, Datenverletzungen zu verhindern und Angreifer aggressiv zu vertreiben.

Für das hybride Unternehmen bietet ExtraHop vollständige Sichtbarkeit, Echtzeiterkennung und intelligente Reaktion, damit Sie Ihre Sicherheit genauso aufbauen können, wie Sie Ihr Unternehmen cloud-first aufbauen.

Durch die Analyse aller Netzwerkinteraktionen in Echtzeit, einschließlich aller Cloud-Transaktionen und SSL/TLS-verschlüsselten Datenverkehrs, bietet es vollständige Einblicke innerhalb des Perimeters und über die hybride Angriffsfläche hinweg. ExtraHop nutzt modernste maschinelles Lernen, um Ihre Cloud-Investitionen zu schützen, die Bereitstellung wichtiger Anwendungen sicherzustellen und Ihnen bei der Identifizierung von Risiken im Ost-West-Korridor zu helfen.

Unabhängig davon, wie Ihr Unternehmen mit der Außenwelt interagiert, bietet ExtraHop eine Lösung, um Ihnen zu helfen, Ihre Vermögenswerte überall zu schützen.

Bei ExtraHop sind drei Merkmale, cloud-basiert, cloud-unabhängig und cloud-intelligent, notwendig, um ein wirklich cloud-nativer NDR-Lösungsanbieter zu sein. Die erste und einzige cloud-native NDR-Plattform, Reveal(x) Cloud, bietet sofortige Vorteile durch Situationsbewusstsein und 360-Grad-Sichtbarkeit, die zusammenarbeiten, um kontinuierlichen Schutz über die gesamte Angriffsfläche hinweg zu gewährleisten.

IBM QRadar

Durch die Überwachung des Netzwerkverhaltens in Echtzeit unterstützt IBM Security QRadar Network Detection and Response (NDR) Ihre Sicherheitsteams dabei, bedeutungsvolle Einblicke und Reaktionen zu liefern. Es vereint Tiefe und Breite der Sichtbarkeit mit hochwertigen Daten und Analysen.

Die Verwendung von IBM QRadar ist einfach.

  • Werden Sie sich ungewöhnlicher Aktivitäten bewusst: Bedrohungen bleiben oft unentdeckt, weil die große Menge an Daten, die über Ihr Netzwerk übertragen wird, dies erschwert. Aufklärung, Pivoting und Geräteeinträge - alles Anzeichen für böswillige laterale Bewegung - sollten in Echtzeit erfasst werden.

  • Schnelle Erkennung verkürzt die Verweildauer: Daten werden häufig in kleinen, unregelmäßigen Mengen von geduldigen Angreifern gestohlen. Finden Sie sensible Informationen, die in Echtzeit über Ihr Netzwerk per E-Mail, Chat, Datei-Uploads, Downloads oder soziale Medien übertragen werden.

  • Ressourcen automatisch aktualisieren, um den Angreifern einen Schritt voraus zu sein: Wenn neue Geräte Ihrem Netzwerk beitreten, können Sie sie sehen. Profilieren Sie kontinuierlich Vermögenswerte basierend auf Eigenschaften und Verhalten, um Bedrohungen, kompromittierte Hardware und Schatten-IT zu finden.

  • Von reaktiv zu proaktiv: Um zukünftige Angriffe zu stoppen, historische Netzwerkaktivitäten abfragen, um vergangene Aktivitäten zu suchen, seltsames Verhalten zu identifizieren und die beteiligten Vermögenswerte zu identifizieren.

Drei Merkmale von IBM QRadar repräsentieren die Servicequalität:

  1. Beseitigen Sie blinde Flecken: Durch die Zusammenführung von Ereignis- und Flussdaten aus On-Premises- und Cloud-Umgebungen können Sie eine umfassende, Echtzeit-Transparenz für eine bessere Netzwerk-Erkennung und -Reaktion erhalten.

  2. Schnellere Gefahrenerkennung: Etablieren Sie eine Basislinie typischer Netzwerkaktivitäten mithilfe von maschinellen Lernanalysen, um abnormales Verhalten schnell zu erkennen, bevor Angreifer das System stören.

  3. Nutzen Sie aktuelle Investitionen: Ermöglichen Sie umfassende Bedrohungssichtbarkeit, -erkennung und -reaktion in einer einzigen Lösung, um den Werkzeugwechsel zu reduzieren und Sicherheitsinvestitionen zu nutzen und zu skalieren.

Die wichtigsten Merkmale von IBM QRadar werden im Folgenden erläutert:

Bedrohungen lauern im regulären Verkehr in Ihrem Netzwerk. Erhalten Sie eine umfassende Netzwerkansicht über eine Vielzahl von Netzwerkgeräten.

Echtzeit-Netzwerkanalyse und -korrelation. Einblicke in das Netzwerk ermöglichen die Sitzungsrekonstruktion, die vollständige Paketaufnahme, die kritische Metadatenerfassung und die Anwendungsanalyse.

Die Basislinie für typische Netzwerkaktivitäten, das Suchen nach Anomalien und das Erkennen verdächtigen Verhaltens werden Ihnen helfen, winzige Abweichungen im Benutzer- oder Systemverhalten zu erkennen, die in der Vergangenheit möglicherweise nicht gemeldet wurden.

Durch das Erkennen bösartiger Aktivitäten und die Ermöglichung für Ihr Sicherheitsteam, Domains zu finden, die von innerhalb Ihres Netzwerks über Domain Generated Algorithm (DGA), Tunneling oder Squatting aufgerufen werden, können Sie Einblick in Ihren lokalen DNS-Verkehr gewinnen.

Durch die Rekonstruktion von Daten und das Nachverfolgen von Aktionen können Sie die genauen Schritte der Online-Täter zurückverfolgen. Es zeichnet die vollständige Abfolge der Ereignisse auf, rekonstruiert sie und spielt sie ab.

Wenn kein anderes Netzwerk-Paketaufzeichnungsgerät (Network PCAP) eingesetzt wird, bietet QRadar Network Packet Capture ein optionales Gerät an, um die von QRadar Incident Forensics verwendeten Daten zu speichern und zu verwalten.

Kunden haben über QRadar NDR Zugang zu einer Vielzahl von Preisoptionen:

  • Nutzungsbasierte Preisgestaltung: Diese unkomplizierte, erweiterbare Option ermöglicht es Ihnen, klein zu beginnen mit den ersten Benutzern und Funktionen und schnell zu skalieren, wenn weitere Benutzer, Funktionen und Daten hinzugefügt werden.

  • Unternehmensweites Preismodell: Die unternehmensweite Preisgestaltung wird durch die Größe der gesamten IT-Infrastruktur Ihres Unternehmens oder die Menge und Vielfalt der zu schützenden Datenquellen bestimmt.

  • Gerätebasierte Preisgestaltung: Mit dieser Wahl können Sie die Bereitstellung einfach erweitern, indem Sie zusätzliche Geräte hinzufügen, nachdem Sie mit nur einem begonnen haben.

IronNet

IronDefense ist die fortschrittlichste Plattform für Netzwerk-Erkennung und -Reaktion (NDR) auf dem Markt, die entwickelt wurde, um die komplexesten Cyber-Bedrohungen zu vereiteln.

IronDefense, eine innovative NDR-Lösung, erhöht die Erkennungseffizienz in Ihrem Netzwerkumfeld und verbessert gleichzeitig die Sichtbarkeit im gesamten Bedrohungsumfeld. Infolgedessen kann Ihr SOC-Team die aktuellen Cyber-Schutzwerkzeuge, Ressourcen und Analystenkapazitäten effektiver nutzen.

Diese 3 Merkmale zeigen die Servicequalität von IronNet:

  • Vollständige Erkennbarkeit: Mit der Kombination aus IronDome Collective Defense, Echtzeiteinblicken in die Gefahrenlandschaften verschiedener Branchen, menschlichen Erkenntnissen zur Identifizierung von Bedrohungen und höherwertiger Analyse von Anomalien, die über Peer-Gruppen hinweg verbunden sind.

  • Schnellere Reaktion: Um erkannte Signale basierend auf dem Risiko zu priorisieren und das begrenzte Cyber-Personal des Landes zu ergänzen, wird fortschrittliche Automatisierung eingesetzt, um Reaktionsleitfäden anzuwenden, die von den besten Verteidigern des Landes erstellt wurden.

  • Anspruchsvolle Verhaltensdetektion: Fortschrittliche Netzwerkverhaltensanalyse, die bewährte KI/ML und Analytik nutzt, um äußerst sichere Netzwerke zu schützen, ermöglicht eine Skalierung der Analyse auf die größten Unternehmen.

Weitere Funktionen von IronNet sind wie folgt:

  • IronDefense verwendet getestete Analysen, die auf ML- und KI-Methoden basieren, die in der tatsächlichen Verteidigung gegen hochqualifizierte Cyberkriminelle und Bedrohungsakteure auf der Ebene von Nationalstaaten eingesetzt werden.

  • Die Alarmkorrelations-Engine von IronNet korreliert anomale Aktivitäten vorab nach Bedrohungskategorien und modelliert gegnerische Angriffsstrategien, um die Risikobewertung und Alarmpriorisierung zu erhöhen, während die Alarmlast und die Untersuchungszeit erheblich verringert werden.

  • Zur Bequemlichkeit der Analysten bietet IronNet verlängerte Jagdfenster von 30, 60 und 90 Tagen an.

  • IronDefense verwendet optionale Streaming-Analysen, um Malware-Payloads in Ihrem Netzwerk zu finden. Um zu beurteilen, ob eine Payload bösartig ist, werden diese Analysen mit einer Dateireputationsdatenbank abgeglichen.

  • Um eine dynamische, Echtzeit-Sichtbarkeit auf Bedrohungen zu bieten, die Ihre Lieferkette, Branche oder Region ins Visier nehmen, integriert sich IronDefense mit unserer IronDome Collective Defense-Lösung.

  • IronNet arbeitet mit jedem seiner Kunden zusammen, um eine maßgeschneiderte Erfahrung zu bieten, die bei der Planung, Implementierung, Integration und Verwaltung von IronDefense durch Ihr Sicherheitsteam hilft.

  • Mit der Fähigkeit, Ihre verstreuten Teams zu unterstützen, verwendet IronDefense eine Vielzahl von in der Cloud bereitgestellten Sensoren für öffentliche/private Clouds, virtuelle Netzwerke und lokale Netzwerke, um Ihnen zu helfen, Ihre spezielle Infrastruktur zu schützen.

  • Durch die Erfassung des Nord-Süd-Verkehrs an Ihrem Netzwerkperimeter und des Ost-West-Verkehrs innerhalb Ihres Unternehmens kann IronDefense vollständige Sichtbarkeit über Ihr Netzwerk und umfassende Einblicke auf der Ebene einzelner Sitzungen bieten. IronDefense verwendet tragbare virtuelle und physische Sensoren sowie Datensammler.

Flexible Preise und Pakete stehen zur Verfügung, um den Bedürfnissen Ihres Unternehmens gerecht zu werden.

  • Basis: Für Unternehmen jeder Größe, die eine anspruchsvolle logbasierte Verhaltensüberwachung und kollektiven Schutz benötigen, beträgt die monatliche Gebühr 3 $ pro Mitarbeiter.

  • Professionell: Für Unternehmen, die marktführende Netzwerk-Erkennung und -Reaktion, kollektive Verteidigung und Reporting-Anwendungsfälle benötigen, beträgt die monatliche Kosten pro Mitarbeiter 6 $.

  • Unternehmen: 9 $ pro Mitarbeiter und Monat für große Unternehmen mit erheblichen Datenmengen, vielen Anwendungsfällen zur Netzwerkerkennung und zusätzlichen Dienstleistungen wie Berichterstattung, Cyber-Jagd und branchenführende Netzwerkerkennung und -reaktion.

LogRhythm

Eine NDR-Lösung namens LogRhythm analysiert das Netzwerk-, Benutzer- und Hostverhalten mithilfe hybrider Analytik, die maschinelles Lernen, regelbasierte Erkennung und Bedrohungsintelligenz kombiniert. Die Fähigkeit, laterale Bewegungen, Exfiltration, Malware-Kompromittierung, Ransomware und andere Bedrohungen in Echtzeit zu erkennen, wird durch den ganzheitlichen Ansatz ermöglicht, der eine wahre Darstellung aller Aktivitäten innerhalb der Unternehmensdomäne bietet.

Sie können neue Sicherheitsanwendungsfälle für Desktops, Lieferketten, Rechenzentren, öffentliche Clouds und IoT/OT mit Hilfe von LogRhythm NDR bewältigen. Die SaaS-basierte Bedrohungserkennungslösung kann unabhängig oder in Verbindung mit der LogRhythm SIEM-Plattform verwendet werden, um Angriffe schnell zu identifizieren und das Risiko für Ihr Unternehmen zu verringern.

Mesh-Computing wird von LogRhythm NDR verwendet, das durch die patentierte TensorMist-AITM-Technologie unterstützt wird, um die Datenerfassung und -analyse zu verbessern und die Betriebskosten zu senken.

Die Hauptmerkmale von LogRhythm NDR sind wie folgt:

  • Akteur- und Aktionsidentifikation in Echtzeit: Es ermöglicht Ihnen, Bedrohungen wie laterale Bewegung, Exfiltration, Malware-Kompromittierung und Ransomware in Echtzeit zu erkennen, indem es eine End-to-End-Unternehmensaktivität auf Netzwerk-, Host-, Benutzer- und Prozessebene bereitstellt.

  • Integration: Die Integration mit Firewall- und erweiterten Erkennungs- und Reaktionssystemen (EDR) verbessert Ihre Bedrohungserkennung, indem sie Netzwerktransparenz hinzufügt, um Endpunkte, Rechenzentren und die Cloud abzudecken.

  • Cloud-agentenlose Sammlung: Durch das Einlesen von Cloud-Daten modelliert Cloudera die Eigenschaften des Betriebssystems und die Arbeitslast über virtuelle Maschinen, Kubernetes und containerisierte Systeme hinweg. TensorMist-AI erweitert die Datensammlung und -analyse, während die Bandbreitenkosten durch die Nutzung von Mesh-Computing gesenkt werden.

  • Eine gründliche und präzise Bedrohungserkennung: Sie verhindert ausgeklügelte Angriffe und reduziert mehr als 90 % der Fehlalarme. Intelligentes Bedrohungsjagen von Taktiken, Techniken und Bedrohungsgruppen über zahlreiche Angriffsvektoren wird über die integrierte MITRE ATT&CK Engine bereitgestellt.

  • Einfache Bereitstellung: Mit unserem cloud-nativen Sicherheits-Stack und sofort einsatzbereiten Integrationen für aktuelle Firewall- und EDR-Systeme ist der Einstieg einfach.

Im Folgenden finden Sie eine Liste der Merkmale, die LogRhythm NDR einfach zu bedienen machen.

Die Tensor-Mist-Technologie von LogRhythm NDR verhindert, dass Daten zwischen Clouds verschoben werden, und bietet zusätzlich schnellere, skalierbare Bedrohungserkennung, -reaktion und -suche. Diese Funktion ermöglicht es Ihrem Unternehmen, massive Mengen an Sicherheitsdaten "vor Ort" zu sammeln und zu verbessern.

Die besten SaaS- und Cloud-Modelle werden durch Mesh-Netzwerkanalysen und -verarbeitung sowie durch zuverlässige SaaS-Bereitstellung ermöglicht. Dieses Modell ist skalierbar und maximiert den Wert und die Betriebskosten für die Erkennung von Netzwerkbedrohungen.

LogRhythm sieht das gesamte Spektrum der Workloads, einschließlich serverloser Funktionen bis hin zu einzelnen Containern und Kubernetes-Clustern, und erkennt unerwünschte Datenflüsse aus Ihren Cloud-Umgebungen.

EDR-Integrationen unterstützen die Bereitstellungen von SentinelOne, VMware Carbon Black und CrowdStrike. Für die Protokollsammlung interagiert LogRhythm NDR auch mit branchenführenden Firewalls wie Palo Alto Networks. An der LogRhythm NDR-Konsole können Analysten diese Integrationen in nur wenigen Minuten konfigurieren.

Mit der benutzerfreundlichen Konsole von LogRhythm NDR können Sie Ihre jährlichen Ausgaben und Gerätekosten halbieren.

Eine integrierte MITRE ATT&CK Engine und eine maschinelles Lernen (ML)-gesteuerte Lösung zur Erkennung und Reaktion auf Netzwerbedrohungen werden von LogRhythm NDR bereitgestellt, die blinde Flecken schließt und das Netzwerk Ihres Unternehmens kontinuierlich überwacht.

RSA NetWitness

Eine NDR-Lösung namens NetWitness Network identifiziert und bekämpft Netzwerkbedrohungen schnell. Einige Funktionen von NetWitness Network sind wie folgt:

  • Reduziert die Alarmmüdigkeit der Analysten: Um hochpriorisierte Angriffe zu identifizieren und Fehlalarme zu minimieren, ergänzt NetWitness Network Protokolldaten mit kontextuellen Informationen und Bedrohungsinformationen.

  • Erleichterung des Netzwerkdatenmanagements: Dank umfassender Sichtbarkeit wird die Datenverwaltung und -analyse in Ihrer gesamten IT-Umgebung einfacher.

  • Beschleunigt die Erkennung und Reaktion auf Netzwerkbedrohungen: Schnellere Erkennung von Netzwerkbedrohungen, Forschung und forensische Untersuchungen werden durch die schnelle, umfassende Netzwerktransparenz von NetWitness Network ermöglicht.

  • Bedrohungen einfacher untersuchen und erkennen: Neben ausgeklügelten automatisierten Erkennungs-, Untersuchungs- und Forensik-Tools bietet NetWitness Network auch einfache Datenvisualisierungen und Knotendiagramme an.

Die Nutzung des NetWitness-Netzwerks ist einfach. Um Metadaten zu erstellen, die die Alarmierung und Analyse erheblich beschleunigen, analysiert und bereichert NetWitness Network dynamisch Protokolldaten zum Zeitpunkt der Paketaufnahme.

Verschiedene Merkmale des NetWitness-Netzwerks zeigen die Servicequalität:

  • Zuverlässige forensische Fähigkeiten: Das NetWitness-Netzwerk kombiniert ausgeklügelte, integrierte forensische Untersuchungstools mit einer eingehenden Untersuchung von Hunderten von Protokollen.

  • Unterstützung für natives Decoding: Das NetWitness-Netzwerk, das natives Decoding bietet und sich mit Drittanbietern integriert, um zusätzlichen Support für die Entschlüsselung zu leisten, ist von codiertem Verkehr nicht betroffen.

  • Umfassende Sichtbarkeit der gesamten Infrastruktur: NetWitness Network bietet Echtzeit-Transparenz für den gesamten Netzwerkverkehr, egal ob er lokal, in der Cloud oder über mehrere virtuelle Umgebungen hinweg genutzt wird. Das NetWitness Network identifiziert bekannte und unbekannte Angriffe, die Unternehmen gefährden, indem es eine spezielle Mischung aus Verhaltensanalytik, Datenwissenschaftsmethoden und Bedrohungsintelligenz verwendet.

  • Sichtbarkeit in der zunehmend digitalen Umgebung: Das NetWitness-Netzwerk, das den Netzwerkverkehr zentral auf Bedrohungen aus jeder Quelle überwachen und Sammlungskomponenten vor Ort, virtuell, über hybride Architekturen oder vollständig in öffentlichen Clouds bereitstellen kann, ist die beste Lösung für die sich ständig erweiternde digitale Landschaft. Die Analyse von Daten in entfernten und virtuellen Umgebungen wird durch die allgegenwärtige Netzwerktransparenz erleichtert, die eine schnelle Identifizierung und Reaktion ermöglicht.

Vectra AI

Vectra Bedrohungserkennung und -reaktion ist eine umfassende Cybersicherheitsplattform, die Sicherheitswarnungen sammelt, erkennt und priorisiert. Die Cognito-Plattform für Network Detection and Response (NDR) wird verwendet, um Angriffe in Clouds, Rechenzentren, dem Internet der Dinge und Unternehmensnetzwerken zu identifizieren und zu stoppen. Für niedrigstufige Bedrohungen bietet die Plattform auch automatisierte Reaktionsmöglichkeiten und eskaliert schwerwiegendere Anomalien an das Sicherheitspersonal.

Cognito sammelt Informationen aus verschiedenen relevanten Quellen und fügt dann Kontext und Sicherheitswissen hinzu. In Rechenzentren, IoT oder Unternehmensnetzwerken beginnt es damit, Sensoren über mehrere Netzwerke zu verteilen. Nützliche Metadaten werden vom Algorithmus aus dem Netzwerk- und Cloud-Verkehr extrahiert. Die Daten können auch nicht-sicherheitsrelevante Informationen enthalten, die bei Ermittlungen helfen.

Um wichtige Anwendungsfälle wie Bedrohungserkennung, Untersuchung, Jagd und Compliance zu ermöglichen, wird die Daten mit Sicherheitskontext angereichert. Die maschinelle Lernbasis der Plattform ermöglicht es ihr, sich an jedes neue Bedrohungsszenario anzupassen. Es verwendet Identifizierung und Durchsetzung auf Host-Ebene, um Angriffe zu identifizieren, zu gruppieren, zu priorisieren und vorherzusehen.

Eine Person kann etwa 50 Gefahren mit der Vectra-Plattform in etwa zwei Stunden untersuchen. Es produziert schnellere Ergebnisse, indem es Warnungen priorisiert und Bedrohungsinformationen nutzt. Eine der Stärken von Vectra ist der Schwerpunkt, den es auf die Verschmelzung von Forschung und Datenwissenschaft für Sicherheitsanalysen legt. Mit unüberwachten, überwachten und tiefen Lernmodellen ermöglicht es die Kodifizierung von Verhalten.

Die Hauptmerkmale von Vectra AI sind unten aufgeführt:

  • Bedrohungserkennung und -reaktion, unterstützt durch KI

  • Angriffe mit verhaltensbasierter Bedrohungserkennung in Echtzeit.

  • Es erkennt Gefahren, indem es Tausende von Ereignissen kombiniert und korreliert.

  • Es bietet datengestützte Sicherheitsanalysen und eine Beweiskette zur Verbesserung der Bedrohungsuntersuchung.

  • Deep Learning und neuronale Netzwerke sind zwei Beispiele für Ansätze des maschinellen Lernens.

  • Es gibt Einblicke in Online-Kriminelle und untersucht alle Netzwerkaktivitäten.

  • Regelmäßige Aktualisierungen mit neuen Bedrohungserkennungstechniken.

  • Es bietet sowohl Verschlüsselung im Ruhezustand als auch während der Übertragung an. Es bietet AES-256-Verschlüsselung für die AWS-Version über den AWS Key Management Service.

  • Garantierte Erreichbarkeit gemäß dem SLA des gewählten Dienstes.

  • Es verbindet sich nicht mit Netzwerken im öffentlichen Sektor.

Verschiedene Merkmale von Vectra AI zeigen die Qualität des Dienstes.

  • Verhaltensmodelle werden verwendet, um unbekannte Angreifer zu identifizieren.

  • Vectra AI priorisiert die relevantesten Informationen, um proaktives Handeln zu ermöglichen. Dies gibt den Ermittlern ein klares Bild und einen umfassenden Rahmen, und dies hilft bei der Entscheidungsfindung im Incident-Response-Prozess. Darüber hinaus hilft es bei der Arbeit mit großen Datensätzen, indem es Metadaten massenhaft sammelt und mühsame Analysen automatisiert. Aufgrund dessen verringert sich die Menge an Arbeit, die Sicherheitsexperten leisten müssen, um Bedrohungen zu untersuchen.

  • Vectra-Dienste haben auch den Vorteil, dass sie in einer hybriden, privaten oder öffentlichen Cloud bereitgestellt werden können. Der Support kann per E-Mail oder Online-Ticket kontaktiert werden, und die Antworten dauern in der Regel vier Stunden. 24/7 telefonischer Support wird angeboten.

  • Vectra bietet umfassenden Vor-Ort-, Online- und Dokumentationssupport an. Es unterstützt eine Vielzahl von Webbrowsern, darunter Internet Explorer, Microsoft Edge, Firefox, Chrome, Safari und Opera, wenn es um die Benutzeroberfläche geht. Es ist jedoch nicht mit mobilen Geräten kompatibel.

Eine kostenlose Testversion wird zusammen mit einer abonnementbasierten Preisstruktur angeboten.

Letztes Update am von Zenarmor