DatAlert - поведенческий анализ и расследование инцидентов | Varonis
DatAlert

Поведенческий анализ и расследование инцидентов

DatAlert распознает аномальную активность в сети организации, оповещает о подозрительном использовании корпоративных данных и позволяет проводить оперативное расследование инцидентов прямо в веб-интерфейсе

Запросить демонстрацию
 

Вы уверены, что ваши данные надежно защищены?

Непрерывный мониторинг DatAlert позволит своевременно выявить угрозы хищения и компрометации данных компании.
DatAlert – уникальное решение, которое объединяет классификацию данных, продвинутую аналитику, поведенческий анализ (UEBA) и управление доступом. Такой подход сокращает число ложных срабатываний практически до нуля, поскольку обогащает систему достоверными сведениями и контекстом.
Основные возможности DatAlert:

  • Выявляет подозрительные операции с корпоративными файлами и на почтовых серверах
  • Проводит непрерывный мониторинг активности привилегированных учетных записей
  • Выявляет аномальное поведение учетных записей в Active Directory и оповещает обо всех операциях, которые представляют потенциальный риск для компании

Веб-интерфейс решения, основанный на настраиваемых дашбордах, наглядно показывает ключевые уязвимости и предупреждает об атаках до того, как они нанесут ущерб компании.

DatAlert – наглядная и прозрачная картина
использования корпоративных данных
и учетных записей

Запросить демонстрацию

В основе DatAlert лежит поведенческий анализ

DatAlert изучает поведенческие модели пользователей, строит профили нормального и нетипичного поведения. Когда действия пользователя начинают выглядеть подозрительно, DatAlert незамедлительно оповещает об этом офицеров информационной безопасности.

Готовый план реагирования на инциденты

DatAlert предлагает конкретные шаги по реагированию на кибератаки и расследованию инцидентов. DatAlert поможет вам на всех этапах – от оповещений до предотвращения кибератак и восстановления данных и систем. Все это в удобном веб-интерфейсе.

Расследование инцидентов

Визуализация угроз безопасности и уязвимостей позволяет вовремя выявлять инциденты.
Datalert содержит инструменты совместной работы для служб информационной безопасности. Например, можно назначить отвественного за расследования инцидента и отслеживать его действия по работе с данным инцидентом.

Нестандартные инструменты киберразведки

DatAlert позволяет отслеживать подозрительные подключения с использованием уникальных инструментов киберразведки. Например, DatAlert позволяет сопоставлять признаки подозрительного поведения и нестандартной активности с внешними IP-адресами и добавлением в URL служебной информации.

DatAlert не использует сигнатурный анализ

DatAlert постоянно обогащается новыми моделями угроз, основанными на поведенческом анализе, которые позволяют отслеживать паттерны поведения, предотвращать АРТ-атаки и защищать ваши данные.

Соответствие требованиям регуляторов

Мониторинг, защита конфиденциальных данных и автоматическое оповещение о нарушениях для прохождения аудиторских проверок и соответствия требованиям PCI-DSS, GDPR, HIPAA, SOX и другим стандартам.

Целостная картина происходящего

DatAlert дает полную картину происходящего в компании: как нестандартное поведение пользователей связано с инцидентами и активностью в различных платформах.

Запросить демонстрацию

100+ встроенных моделей угроз
и их число постоянно увеличивается

Неавторизованное повышение привилегий
Массовое удаление данных
Нетипичные операции блокировки
Попытки уничтожения операционных данных
Использование уязвимостей
Изменение членства в группах
Изменениe критичных данных
Внесение изменений в групповые политики
Подозрительные попытки доступа
Изменения прав доступа
Брутфорс атаки
Попытки эксфильтрации данных
Выявление программ-вымогателей
Нетипичная файловая активность
Нетипичная активность на файловых и почтовых серверах
Доступ к конфиденциальным данным
Неавторизованные попытки доступа
Массовое шифрование данных
Кумулятивный анализ устаревшей и чувствительной информации
Нетипичный доступ к системным файлам
Неавторизованный доступ к файлам
Ошибки конфигурации
Массовое шифрование данных
Проникновение в сеть

DatAlert интегрируется со сторонними системами безопасности

DatAlert передает данные и оповещения, связанные с аномальным поведением пользователей и другими угрозами, в наиболее популярные SIEM-системы для быстрого обнаружения угроз и расследования инцидентов.

В прошлом году мы обнаруживали в среднем 5 программ-вымогателей в месяц, а сейчас их число увеличилось до 10-15 в день – и всё потому, что кто-то любит кликать по ссылкам, по которым не следует переходить.
Varonis DatAlert помогает нам выявлять и бороться с подобными угрозами.

Гарри Хейслип, CIO, City of San Diego

Через неделю после внедрения DatAlert наша компания столкнулась с вирусом-вымогателем Locky. К счастью, DatAlert мгновенно оповестил о том, что через учетную запись одного из сотрудников началось шифрование данных. Мы тут же заблокировали учетную запись и смогли восстановить данные.

Ли Пов, CIO, Hugh Chatham Memorial Hospital

Мы установили DatAlert на 19 серверах и используем продукт для мониторинга нестандартной файловой активности, персональных данных и подозрительного поведения пользователей. DatAlert – это как иметь целый штат сотрудников, которые следят за безопасностью корпоративных данных в режиме 24/7.

Джей Аттиа, ИТ-директор, Tom's River Regional Schools

Cryptolocker – это серьезная угроза безопасности для многих компаний. С Varonis DatAlert мы можем больше не беспокоиться об этом. Varonis своевременно распознает потенциальные уязвимости и помогает нам бороться с внутренними угрозами и внешними кибератаками.

Джим Хэнлон, SVP & CTO, Dedham Savings Bank

FAQЧасто задаваемые вопросы

General Information

  • Как масштабируется DatAlert?

    DatAlert легко масштабируется в соответствии с потребностями заказчика. Он масштабируется до необходимого количества серверов: у нас есть клиенты, отслеживающие более 20PB данных одновременно; другие используют Varonis на более 40 серверах.

  • Насколько DatAlert нагружает систему?

    Varonis использует специальные коллекторы, которые собирает данные для анализа в DatAlert, благодаря чему нет никакой дополнительной нагрузки на внутренние системы заказчика.

  • Можно ли в DatAlert создавать собственные оповещения?

    Создание оповещений – одна из отличительных особенностей DatAlert. Вы можете использовать встроенные модели угроз и создавать для них свои собственные оповещения, которые отвечают особенностям вашей инфраструктуры.
    Создание оповещений в интерфейсе DatAlert занимает всего пару минут.

  • Как создать оповещение?

    • Выберите папку или файл, который вы хотите отслеживать
    • Отметьте сотрудников, связанных и не связанных с этим оповещением
    • Опишите, какие действия с файлом будут создавать оповещения
  • Можно ли автоматизировать реагирование на инциденты?

    DatAlert содержит предустановленные варианты реагирования на инциденты, включая интеграцию с SIEM-системами посредством передачи логов, оповещения по электронной почте и т.д. Вы также можете автоматически запустить exe. файл или PowerShell- скрипт.
    Например, некоторые заказчики запускают базовый PowerShell-скрипт для дезактивации скомпрометированных учетных записей пользователей и отключения компьютера, если DatAlert обнаружил признаки распространения атаки.

  • Поддерживает ли DatAlert территориально-распределенные структуры?

    Точная информация о том, где возникают инциденты, поможет сократить время реагирования на инциденты, быстро распознать и предотвратить атаки в режиме реального времени. Varonis определяет внешние IP-адреса поддерживаемых платформ, в зависимости от страны и региона их нахождения. Если геолокация определена, эта информация попадает в карточку события и оповещение о событии, что может быть использовано для отслеживания атакующего и предотвращения вторжений.

  • С какими системами интегрируется DatAlert?

    DatAlert интегрируется с LogRhythm, Splunk и QRadar, и поддерживает другие интеграции посредством syslog или SNMP.
    Вы также можете интегрироваться с другими системами, используя открытый API.
    Полный список поддерживаемых интеграций можно посмотреть здесь .

  • Как настраиваются модели угроз?

    Создание, настройка моделей угроз происходит в пару кликов и занимает несколько минут.

  • Отличается ли период обучения для разных моделей угроз?

    Да, конечно. Модели угроз основаны на анализе поведенческих профилей. Каждый профиль – это набор метаданных обо всех пользователях и их поведении в корпоративной среде, которые Varonis собирает в течение определенного периода времени. Это и есть период обучения системы.
    По завершении этого периода, поведенческая аналитика (UBA) может идентифицировать нетипичное и злонамеренное поведение пользователей.
    Некоторые поведенческие модели требуют незамедлительной реакции, но порой нужно время, чтобы продолжить изучение паттернов поведения для более точной их идентификации.
    Разные модели угроз анализирует различные типы активностей. Например, период обучения для понимания очего графика пользователя занимает как минимум 10 дней. Период обучения для понимания того, что поведение пользователя в группе является нормальным, занимает уже как минимум 30 дней. А для того, чтобы определить такое событие, как доступ к устаревшим данным, необходимо как минимум 60 дней.

Хотите узнать больше?

Закажите интерактивную демонстрацию возможностей Varonis, которую проведут наши инженеры в удобное для вас время. Отправьие запрос или позвоните нам +7 (495) 997-63-66