Edge

Erkennen Sie Gefahren am Perimeter

Unsere branchenweit führenden Sicherheitsanalysen kombinieren Perimeter-Telemetrie mit Datenzugriffsaktivitäten, um Malware, APT-Eindringlinge und Datenexfiltration zu erkennen und zu stoppen.

DEMO ANFORDERN
 
 

Verfolgen Sie verdächtige Aktivitäten vom Kern des Systems bis zum Perimeter

Edge analysiert Metadaten von Perimeter-Technologien wie DNS, VPN und Web-Proxies, um Anzeichen von Angriffen am Perimeter zu erkennen. Wir stellen die Perimeter-Aktivität in Zusammenhang mit den wichtigsten Datenzugriffsaktivitäten eines Benutzers, Geodaten, der Zugehörigkeit zu Sicherheitsgruppen und weiteren Faktoren – so erhalten Ihre SOC-Analysten saubere und aussagekräftige Warnmeldungen.

Analysieren Sie Aktivitäten auf Perimeter-Geräten wie DNS, VPN und Web-Proxies.
Wenden Sie Geostandort- und Bedrohungsintelligenz für unsere Sicherheitstelemetrie an.
Verfolgen Sie potenzielle Datenlecks am Perimeter und Angriffe am Eintrittspunkt.
Fordern Sie eine Demo an
 

Vereinfachen von Sicherheits-
untersuchungen

Edge befreit Ihre Untersuchungsaufgaben von manuellen Tätigkeiten. Sie erhalten alle für die Notfallreaktion benötigten Daten auf einem einzigen, intuitiven Dashboard.

Analysten können schnell erkennen, ob der User von einem (für ihn) normalen Standort auf das Netzwerk zugreift, ob das Konto privilegierte Berechtigungen hat, ob auf sensible Daten zugegriffen wurde, ob das Ereignis während des, für einen Benutzer, normalen Zeitfensters aufgetreten ist, und vieles mehr.

Anhand dieser Kontextinformationen können Analysten bestimmen, ob eine Benachrichtigung auf eine echte Bedrohung oder eine sonstige, signifikante Abweichung hinweist.

EINBLICKE DURCH DIE RISIKOBEWERTUNG

User
corp.local/ „Verärgerter“ Dan

Ist ein privilegierter Account: Dan ist ein Administrator
Sein Konto wurde nicht geändert
Neuer Standort für den Benutzer
Der User hat eine Warnung bez. Geohopping ausgegeben

1 Zusätzliche Einblicke

Geräte
1 Gerät

Erste Verwendung von Dan-PC in den 90 Tagen vor der aktuellen Warnung.

0 Zusätzliche Einblicke

Daten
24 Dateien

„Verärgerter“ Dan hat in den letzten 90 Tagen

zum ersten Mal auf 100% der Daten zugegriffen.

24 sensible Objekte waren betroffen.

0 Zusätzliche Einblicke

Zeit
10/04/16 16:24
10/04/16 18:56

100% der Events fanden außerhalb der Arbeitszeit von Dan statt

0 Zusätzliche Einblicke

 

Edge normalisiert die unbearbeiteten Ereignisse, so dass Sie diesen Prozess nicht mehr manuel durch-
führen müssen

Perimetergeräte liefern eine Fülle an Informationen, üblicherweise ohne feste Ordnung: Jeder Gerätetyp und jeder Hersteller hat ein eigenes Protokollformat. Sicherheitsanalysten sollten Zeit damit verbringen, Bedrohungen zu suchen, und diese nicht mit dem Entwirren von Protokolldaten verbringen müssen. Edge filtert das „Rauschen“ aus und liefert Ihnen saubere, für Menschen lesbare Ereignismeldungen.

 

Sicherheitsanalysen für die gesamte Kill-Chain

Die automatisierten Bedrohungsmodelle von DatAlert helfen bei dem Erkennungen von Brute-Force-Angriffen, Berechtigungseskalationen, lateralen Bewegungen, Malware-Angriffen, ATPs und vielem mehr.

Erfolgreicher Brute-Force-Angriff auf ein bestimmtes Konto
DNS-Cache-Poisoning
Daten-Exfiltration durch DNS-Tunneling
Nach einem Zugriff auf DSGVO-Daten wurde eine ungewöhnlich große Datenmenge auf eine externe Webseite hochgeladen
Untypischer Zugriff auf die Plattform von einem Geostandort
Anormales Verhalten: Aktivität von einem Geostandort auf der schwarzen Liste
Anormales Verhalten eines Dienstes: Hochladen von Daten auf externe Webseiten
Anormale DNS-Reverse-Lookup-Anfragen an verschiedene IPs
Ungewöhnlich hohen Anzahl von fehlgeschlagenen DNS-Abfragen
Ungewöhnliche Anzahl von Verbindungsversuchen von Benutzern mit einer identischen externen IP-Adresse
Stuffing von Anmeldeinformationen aus einer externen Quelle
Angriff per Verschlüsselungsherabstufung
Schneller Brute-Force-Angriff auf ein bestimmtes Konto
Potenzieller Brute-Force-Angriff auf ein bestimmtes Konto
Anormales Verhalten eines Dienstes: Hochladen von Daten auf externe Webseiten
Anormales Verhalten: Aktivität von einem neuen Geostandort der Organisation
Anormales Verhalten: Nicht nachvollziehbares Geohopping
 

Verfolgen Sie potenzielle Datenlecks am Perimeter und Angriffe am Eintrittspunkt.

Edge kann Benachrichtigungen über anormale Datenzugriffe, die mithilfe der Bedrohungsmodelle von DatAlert erkannt wurden, mit zusätzlichen Kontextinformationen aus der Perimetertelemetrie anreichern. zB:

  • User Helen hat auf eine abnormal große Menge sensibler Daten auf einem Dateiserver zugegriffen.
  • Sie hat sich remote von einem Server verbunden, den Sie zuvor noch nie verwendet hat.
  • Ihre IP-Adresse weist auf einen verdächtigen Geostandort hin.
  • Proxy-Ereignisse geben an, dass Sie große Datenmengen auf die Seite mega.co.nz hochlädt.
  • Active Directory Ereignissen zufolge gibt es einen Versuch, ihre Berechtigungen zu eskalieren.
 

Nahtlose Integration mit Ihrem SIEM

So funktioniert das
  • Sie speisen Perimetertelemetrie über einen unserer sofort einsatzbereiten Konnektoren aus dem SIEM in Edge ein.
  • Edge sendet mit Kontext angereicherte Benachrichtigungen zurück an das SIEM, wenn ein Bedrohungsmodell ausgelöst wird.
  • Die Benachrichtigung aus dem SIEM enthält einen direkten Link auf den Untersuchungsbildschirm von Varonis.

Kein SIEM? Kein Problem. Edge kann Perimeteraktivitäten direkt über syslog erfassen. Analysten können die Sicherheitsanalyse-Dashboards und die Funktionen von DatAlert für Sicherheitsuntersuchungen nutzen.

Whitepaper

5 Fallstricke der Sicherheitsanalytik und wie sie zu vermeiden sind

Informieren Sie sich darüber, wie unsere Sicherheitsanalysen die üblichen Fallstricke vermeiden und die Anzahl grundloser Meldungen reduzieren, Untersuchungen beschleunigen- und Angriffe schneller stoppen können.

JETZT LESEN
 

FAQHäufig gestellte Fragen

  • Welche Proxies unterstützen Sie?

    • Symantec (Bluecoat) ProxySG
    • McAfee Web Proxy
    • Forcepoint (Websense) Web Security
    • Palo Alto URL Filtering
    • Cisco (IronPort) Web Security Appliance AsyncOS
    • Squid version 3.x
    • Apache HTTP Server version 2.x
    • Zscaler Proxy version 5.x
  • Welche VPNs unterstützen Sie?

    • F5 Access Policy Manager (APM)
    • Palo Alto GlobalProtect
    • Fortinet Forticlient
    • Cisco ASA
    • Pulse Secure
    • Checkpoint
  • Welche DNS unterstützen Sie?

    • Microsoft DNS Server
  • Lassen Sie sich mit einem SIEM integrieren?

    Ja – Edge kann direkt mit Splunk oder über einen unserer Konnektoren mit Ihrem SIEM integriert werden.

  • Wie sammeln Sie die Ereignisse?

    Edge sammelt Ereignisse mit Syslog oder Splunk direkt von Quellgeräten oder über einen unserer Konnektoren von Ihrem SIEM.

    Diese Ereignisse können durchsucht, gemeldet und in neuen Bedrohungsmodellen von DatAlert Analytics, Kennzeichen auf Benachrichtigungsseiten und in DatAlert Bedrohungsmodellen verwendet werden.

    Syslog ist das Protokoll, das üblicherweise für die Übermittlung von Protokolldaten an einen zentralen Server verwendet wird. Verwendet entweder UDP, TCP oder TLS (verschlüsseltes TCP) als Kommunikationsprotokoll. Der Varonis Collector fungiert als Syslog-Server, der die Protokollnachrichten der Geräte abruft.

  • Welche Stufen der Kill-Chain decken Sie ab?

    Varonis Edge analysiert die Benutzeraktivität entlang der gesamten Kill-Chain, von der ersten Infiltration über laterale Bewegungen und Berechtigungseskalation bis hin zur Übernahme der Kontrolle und Exfiltration. Unsere Bedrohungsmodelle analysieren sowohl die Daten von Varonis Edge über Datei- und AD-Aktivität, um ein Gesamtbild der Handlungen des Angreifers zu konstruieren.

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an den Vertrieb unter +49 89 3803 7990