Yangi avlod tarmoq trafigi tahlili (NDR).
NDR (Network Detection & Response) yechimlari sinfi yaqinda Gartner tadqiqot markazi tomonidan tuzilgan. NDR echimlari quyidagi texnologiyalarni o'z ichiga oladi:
• tarmoq trafigini tahlil qilish;
• xulq -atvorni tahlil qilish (tahdidlarni tezkor aniqlash, tergov qilish va ularga javob berish uchun mashinada o'rganish).
Aslida, NDR NTA texnologiyalarini o'z ichiga oladi, shuningdek, tahdidlarni qidirish va qidirish uchun tarixiy metadata qo'shiladi, shuningdek, har xil IT va axborot xavfsizligi vositalari (xavfsizlik devorlari, tarmoqqa kirishni boshqarish va boshqalar) bilan integratsiyalash orqali tahdidlarga avtomatik tarzda javob beradi. NDR echimlari real vaqtda tahdidlarni aniqlash orqali tarmoqning to'liq ko'rinishini ta'minlaydi, EDR va SIEM mahsulotlari bilan integratsiya esa hodisalarni aniqlash uchun ma'lumotlarning qo'shimcha aniqroq korrelyatsiyasini ta'minlaydi.
Kompyuter tahdidlarini hisobga olish va qayta ishlash tizimlari (Tahdid razvedkasi).
Threat Intelligence yechimlari IT infratuzilmasidagi zaifliklar va tahdidlar bo'yicha ilg'or tahlillarni amalga oshirish imkonini beradi. Tahlil tahdid yoki tahdid razvedkasi kanallari (TIF) haqidagi ma'lumotlarga asoslanib amalga oshiriladi.
Hozirda siz obuna bo'lishingiz mumkin bo'lgan juda ko'p ochiq manbali tasmalar mavjud. Lentalar - bu IoC buzilishining ko'rsatkichlarini o'z ichiga olgan ma'lumotlar, ya'ni potentsial tahdidni aniqlash mumkin bo'lgan belgilar. Lentalarda zararli fayllar, IP -manzillar va zararli harakatlar bilan bog'liq domenlar mavjud. Masalan, kompaniya shubhali IP -manzillardan so'rovlarni blokirovka qilish uchun tasmali ma'lumotlardan foydalanishi mumkin. Ammo tasmalarning shubhasiz kamchiliklari bor - ma'lumotlar oqimi kontekstining yo'qligi, ya'ni tasmalarda ko'rsatkichlar mavjud, ammo bu ko'rsatkichlarning aniq hujumlar, zararli fayllar va boshqalar bilan aloqasi to'g'risida hech qanday ma'lumot yo'q. Ushbu ma'lumotni olish uchun ma'lumotlar o'rtasidagi munosabatlarni batafsil tahlil qilish kerak. Jarayon katta mehnat xarajatlarini talab qiladi, chunki ko'p hollarda u qo'lda bajariladi. Bunday holatlarda TI-platformalari (Threat Intelligence Platform) mutaxassisni qutqarish uchun keladi.
Threat Intelligence Platform - tahdid ma'lumotlarini boyitish, aniqlash, tarqatish va o'zaro bog'lash uchun maxsus platforma. Ushbu echimlar sinfi sizga tasmalarni avtomatik ravishda bog'lash, ularni kontekstli ma'lumotlar bilan to'ldirish imkonini beradi, bu sizga IoC -dan maksimal darajada foydalanish imkonini beradi. TI platformalarining shubhasiz afzalligi - bu sizga mavjud bo'lgan tahdidlar to'g'risidagi har qanday ma'lumot manbalarini ulash va markazlashtirilgan qayta ishlash qobiliyati, shuningdek, uni boshqa kiberxavfsizlik vositalari bilan, masalan, SIEM tizimlari, hodisalarga javob berish platformalari yoki himoya vositalari bilan birlashtirish.
Amalda bunday echimlar tahlilchilarga ma'lum ko'rsatkichlar yordamida tarmoqlar va tizimlarda murosa izlarini topishga yordam beradi. Masalan, NTA yechimi noqonuniy trafikni aniqladi (aytaylik, SYN-sel-bu tarmoqdan foydalanishni rad etish hujumlarining turlaridan biri, bu juda qisqa vaqt ichida ko'p sonli TCP ulanish so'rovlarini yuborishdan iborat), keyin SIEMga ma'lum bir IP-manzildan SYN-to'foni aniqlangani haqida xabar bering. SIEM tizimi ma'lumotlarni tahlil qilib, "IP-manzil" kirish parametri va "SYN-sel" hukmi bilan voqea sodir etdi. Keyin SIEM bu ma'lumotni boyitish uchun TI platformasiga yuboradi. Platforma o'z ma'lumotlar bazasini shunga o'xshash DNS yozuvlari uchun tekshirishni boshlaydi.
Agar murosa indikatorlari to'plamida yana o'nlab IP -manzillar topilgan bo'lsa, bu manzillar tekshiriladi va tahlilchiga qaytariladi. Tahlilchi axborotni IT -infratuzilma ma'murlariga uzatadi va ular, o'z navbatida, yo'riqnoma yoki xavfsizlik devoridagi sozlamalarga o'zgartirish kiritadilar va shu bilan potentsial noqonuniy ulanishlarni oldindan to'sib qo'yadilar.
Do'stlaringiz bilan baham: |