Edge

Détection des menaces au niveau du périmètre

Notre outil haut de gamme d'analyse de la sécurité combine télémétrie au niveau du périmètre et activités d'accès aux données pour détecter et bloquer les menaces, les intrusions APT et les exfiltrations de données.

Obtenir une démo
 
 

Suivez les activités suspectes du cœur jusqu'à la périphérie

Edge analyse les métadonnées fournies par les technologies du périmètre, telles que DNS, VPN et proxies Web pour détecter les signes d'attaque au niveau du périmètre. Nous plaçons les activités du périmètre dans leur contexte en fournissant des informations sur les activités d'accès aux données, de géolocalisation, d'appartenance à des groupes de sécurité, etc. -- et nous fournissons aux analystes de votre Centre de sécurité (SOC) des alertes plus claires et qui ont plus de sens.

Analysez l'activité des appareils du périmètre, notamment les DNS, VPN et proxies Web.
Appliquez des capacités de géolocalisation et de connaissance des menaces à vos systèmes de télémétrie de la sécurité.
Procédez au suivi des violations de données potentielles et des attaques au point d'entrée.
Demander une démo
 

Simplifiez les enquêtes de sécurité

Edge supprime les opérations manuelles de vos enquêtes. Obtenez toutes les informations dont vous avez besoin pour faire face à un incident dans un seul écran intuitif.

Les analystes peuvent voir rapidement si l'utilisateur accède au réseau depuis un emplacement normal (pour lui), si le compte possède des droits d'accès, si un accès à des données sensibles a eu lieu, et si l'événement s'est produit durant les horaires habituels de l'utilisateur, etc.

Ce contexte l'aide à déterminer si une alerte signale une menace réelle ou une anomalie sans importance.

Signaux D'alerte

Utilisateur
Icon
corp.local/ Daniel Mécontent

Compte à privilèges. Daniel est un admin
Le compte n'a pas été modifié.
Nouveau lieu enregistré.
Le compte a déclenché une alerte geohopping.

1 Signal Supplémentaire

Appareils
Icon
1 appareil

Première utilisation de PC-de-Daniel dans les 90 jours précédents cette alerte.

0 Signal Supplémentaire

Les données
Icon
24 Fichiers

100% des données consultées pour la première fois par Daniel Mécontent dans les 90 derniers jours.

24 objets sensibles ont été affecté.

0 Signal Supplémentaire

Temps
Icon
10/04/16 19:24
10/04/16 20:56

100% des événements ont lieu en dehors des heures de travail de Daniel Mécontent

0 Signal Supplémentaire

 

Edge normalise les événements bruts afin que vous n'ayez pas à le faire

Les appareils du périmètre produisent de nombreuses informations, généralement non ordonnées et chaque fournisseur et type d’appareil rédige ses journaux à sa façon. Les analystes en sécurité devraient passer leur temps à traquer les menaces, non à se débattre avec les données des journaux. Edge supprime tout le superflu pour ne laisser que des événements clairs et compréhensibles par un humain.

 

Analyse de la sécurité pour toute la chaîne du cybercrime

Les modèles de menace automatisés avec DatAlert aident à détecter les attaques par force brute, les escalades de privilèges, les déplacements latéraux, les menaces, les APT, etc.

Attaque par force brute réussie visant un compte spécifique
Empoisonnement de cache DNS
Exfiltration de données par DNS Tunneling
Volume inhabituel de données téléchargées vers un site Web externe après avoir accédé à des données GDPR
Accès anormal à la plateforme, d'après les informations de géolocalisation
Comportement anormal : activités menées à partir de géolocalisations blacklistées
Comportement anormal d'un service : téléchargement de données vers des sites Web externes
Demandes anormales de résolutions DNS inversées vers des IP différentes
Nombre inhabituel de requêtes DNS n'ayant pas abouti
Un nombre inhabituel d'utilisateurs a tenté de se connecter depuis une seule IP externe
Attaque par credentials stuffing depuis une source externe
Attaque par affaiblissement du chiffrement
Attaque par force brute rapide visant un compte spécifique
Attaque par force brute potentielle visant un compte spécifique
Comportement anormal d'un service : téléchargement de données vers des sites Web externes
Comportement anormal : activité en dehors des lieux géolocalisés connus de l'organisation
Comportement anormal : geo-hopping excessif
 

Procédez au suivi des violations de données potentielles en périphérie et des attaques au point d'entrée

Edge peut enrichir les alertes d’accès anormal aux données générées par les modèles de menaces DatAlert en y ajoutant du contexte obtenu grâce à la télémétrie du périmètre :

  • Hélène accède à un nombre anormal de données sensibles conservées sur un serveur de fichiers
  • Elle est connectée à distance depuis un appareil qu’elle n’a encore jamais utilisé
  • Son adresse IP fournit des informations de géolocalisation suspectes
  • Les événements de proxy indiquent qu’elle envoie une grande quantité de données à mega.co.nz
  • Les événements Active Directory révèlent une tentative d’élévation des privilèges
 

Intégration transparente à votre solution de gestion des événements et informations de sécurité (SIEM)

Comment ça marche
  • Vous envoyez des informations de télémétrie du périmètre depuis votre SIEM dans Edge au moyen d’un de nos connecteurs prêts à l’emploi.
  • Lorsqu’un modèle de menace est déclenché, Edge envoie à votre SIEM des alertes enrichies d’informations de contexte.
  • Votre alerte SIEM proposera un lien profond vers l’écran d’investigation de Varonis.

Pas de SIEM ? Aucun problème. Edge peut collecter les activités de périmètre directement par l'intermédiaire de syslog. Les analystes peuvent exploiter les tableaux de bord d'analyse de la sécurité et les fonctionnalités d'enquête de DatAlert.

Livre Blanc

5 difficultés rencontrées dans l'analyse de la sécurité et comment les éviter

Découvrez comment l'analyse de la sécurité peut surmonter les obstacles les plus courants pour réduire les faux positifs, accélérer les enquêtes et bloquer plus rapidement les attaques.

LIRE MAINTENANT
 

FAQFoire Aux Questions

  • Quels sont les proxies que vous prenez en charge ?

    • Symantec (Bluecoat) ProxySG
    • McAfee Web Proxy
    • Forcepoint (Websense) Web Security
    • Palo Alto URL Filtering
    • Cisco (IronPort) Web Security Appliance AsyncOS
    • Squid version 3.x
    • Apache HTTP Server version 2.x
    • Zscaler Proxy version 5.x
  • Quels sont les VPN que vous prenez en charge ?

    • F5 Access Policy Manager (APM)
    • Palo Alto GlobalProtect
    • Fortinet Forticlient
    • Cisco ASA
    • Pulse Secure
    • Checkpoint
  • Quels sont les DNS que vous prenez en charge ?

    • Microsoft DNS Server
  • Votre solution s'intègre-t-elle aux SIEM ?

    Oui - Edge s'intègre directement à Splunk, ou utilise l'un de nos connecteurs pour s'intégrer à votre SIEM.

  • Comment collectez-vous les événements ?

    Edge collecte les événements directement à partir des appareils source en utilisant Syslog, Splunk, ou à partir de votre SIEM par l'intermédiaire de l'un de nos connecteurs.

    Ces événements peuvent faire l'objet de recherches et de rapports, et sont utilisés par les nouveaux modèles de menace de DatAlert Analytics, les indicateurs de page d'alerte, et dans les modèles de menace de DatAlert.

    Syslog est le protocole le plus répandu pour envoyer des données de log vers un serveur central. Le protocole de communication utilisé peut être UDP, TCP ou TLS (TCP chiffré). Le collecteur de Varonis agit comme un serveur d'écoute Syslog pour consigner les messages envoyés par les appareils.

  • Quelles étapes de la chaîne du cybercrime couvrez-vous ?

    Varonis Edge analyse les activités des utilisateurs qui correspondent à l'intégralité de la chaîne du cybercrime, depuis l'infiltration initiale jusqu'au Command & Control et à l'exfiltration, en passant par les mouvements latéraux et l'élévation de privilèges. Pour générer un tableau complet et précis des activités des pirates, nos modèles de menace analysent les données Varonis Edge en fonction des activités effectuées à la fois sur les fichiers et dans AD.

Vous souhaitez voir Varonis en action ?

Demandez une démonstration ou contactez le service commercial au +33-186-26-78-00