Edge

Обнаружение и предотвращение внешних угроз

Технологии Varonis объединяют анализ периметра сети и доступа к корпоративным данным для выявления и предотвращения целенаправленных атак, распространения вредоносных программ и утечки информации.

Запросить демонстрацию
 
 

Мониторинг подозрительной активности

Edge анализирует метаданные с компонентов сетевой инфраструктуры, таких как DNS, VPN и веб-прокси. Объединяя данные об активности на периметре с информацией об использовании корпоративных данных, геолокации, изменениях в составе групп безопасности и т.д., Varonis своевременно выявляет сложные кибератаки с момента входа в периметр компании и их развития внутри сети. Все собранные и проанализированные таким образом данные, обогащенные контекстом, служат важным источником информации об угрозах и уязвимостях для вашего SOC-центра и служб информационной безопасности.

Анализ подозрительной активности на DNS, VPN и веб-прокси
Использование геолокации и инструментов киберразведки (threat intelligence)
Выявление признаков утечек данных и кибератак
Запросить демонстрацию
 

Автоматизация процесса расследования инцидентов

Единая панель управления событиями полностью автоматизирует процессы реагирования на инциденты и дает быстрые ответы на вопросы:

  • Осуществляется ли доступ к сети компании из обычного для пользователя местоположения?
  • Пытается ли он получить доступ к данным, используя привилегированный аккаунт, либо нет?
  • Произошло ли событие в рабочее время или в нетипичный для данного пользователя временной интервал?
  • Получил ли пользователь доступ к конфиденциальным данным?

Все эти сведения обогащают расследования контекстом, который позволяет точно определить, является ли событие реальным инцидентом или представляет незначительную аномалию.

Risk Assessment Insights

Пользователь
 corp.local/ Гуляев Лев Витальевич Гуляев Л.В. подключился из нестандартного местоположения

Привилегированная учетная запись: Администратор
Учетная запись не менялась
Новое местоположение пользователя
Предупреждение о смене местоположения

1 Additional Insights
Устройства
 1 устройство Обнаружены признаки фишинговой атаки

Первое подключение к устройству Гуляева Л.В. за последние 90 дней.

0 Additional Insights
Данные
 24 файла Гуляев Л.В. обычно не пользуется этими файлами

Пользователь Гуляев Л.В. получил доступ ко всем файлам за последние 90 дней

24 конфиденциальных файла были поражены.

0 Additional Insights
Время
 10/04/16 16:24
10/04/16 18:56		 Эти события происходили в нерабочее время

Зафиксированные события происходят в нерабочее время пользователя

0 Additional Insights
 

Автоматическая нормализация событий

Каждый компонент сетевой инфраструктуры ведет собственный подробный журнал событий. Специалисты по информационной безопасности вынуждены копаться в этих логах вместо того, чтобы выявлять и расследовать инциденты. Edge выполнит всю рутинную работу за вас, представляя события в удобном, читаемом виде.

 

Аналитика данных на каждом этапе атаки

Встроенные в DatAlert модели угроз позволяют выявлять зловредов, целенаправленные атаки, перемещение внутри сети, брут-форс атаки, повышение привилегий и т.д.

Брут-форс атака, нацеленная на конкретную учетную запись
DNS-спуфинг
DNS-туннелирование для получения доступа к конфиденциальным данным
Загрузка нетипичного объема данных на внешний веб-ресурс после получения доступа к персональным данным (GDPR)
Получение доступа к данным из нетипичного местоположения
Нетипичное поведение: активность из черного списка геолокации
Выгрузка данных на внешние веб-ресурсы
Запросы обратного просмотра DNS к различным IP-адресам
Нетипичное количество неудачных DNS-запросов
Быстрые брут-форс атаки, нацеленные на конкретную учетную запись
Потенциальная брут-форс атака, нацеленная на конкретную запись
Выгрузка данных на внешние веб-ресурсы
Активность из местоположения, нетипичного для компании
Необоснованные изменения геолокации
 

Отслеживание потенциальных утечек данных и кибератак

Edge дополняет сведения о нетипичном доступе и использовании корпоративных данных, собранные DatAlert, результатами анализа компонентов сетевой инфраструктуры:

  • Helen получает доступ к большому объему конфиденциальных данных на файловом сервере
  • Она удаленно подключается к своей учетной записи на устройстве, которое раньше никогда не использовала
  • Ее IP-адрес свидетельствует о подозрительной геолокации
  • События прокси-сервера свидетельствуют о выгрузке большого объема данных на внешний веб-ресурс mega.co.nz
  • События Active Directory указывают на попытку проведения повышения привилегий
 

Интеграция с SIEM-системами

Как это работает
  • SIEM-система передает в Edge логи с помощью одного из коннекторов
  • Edge отправляет обратно в SIEM-систему оповещения об атаках, когда срабатывает одна из моделей угроз.
    Эти оповещения содержат весь проанализированный контекст атаки
  • В любой момент вы можете перейти из интерфейса вашей SIEM-системы в панель расследования Varonis для получения более детальной информации по инциденту

У вас нет SIEM-системы? Это не проблема. Edge собирает данные с компонентов сетевой инфраструктуры напрямую через syslog. Вы также можете воспользоваться продвинутой аналитикой и возможностями расследования инцидентов в DatAlert .

5 ловушек в ИБ-аналитике и как их избежать

Мы подготовили материал о том, как не допустить ошибок при аналитике ИБ, снизить число ложных срабатываний, ускорить расследование инцидентов и реагировать на атаки в момент их обнаружения.

Прочитать (ENG)
 

FAQЧасто задаваемые
вопросы

  • Какие прокси-сервера поддерживает Edge?

    • Symantec (Bluecoat) ProxySG
    • McAfee Web Proxy
    • Forcepoint (Websense) Web Security
    • Palo Alto URL Filtering
    • Cisco (IronPort) Web Security Appliance AsyncOS
    • Squid версии 3.x
    • Apache HTTP Server версии 2.x
    • Zscaler Proxy версии 5.x

  • Какие VPN поддерживает Edge?

    • F5 Access Policy Manager (APM)
    • Palo Alto GlobalProtect
    • Fortinet Forticlient
    • Cisco ASA
    • Pulse Secure
    • Checkpoint

  • Какие DNS поддерживает Edge?

    Microsoft DNS Server

  • Возможна ли интеграция с SIEM-системами?

    Да, Edge напрямую интегрируется с системой Splunk, или с любой другой SIEM-системой с помощью одного из коннекторов.

  • Как Edge cобирает события?

    Для сбора событий Edge использует Syslog, Splunk или один из коннекторов для других SIEM-систем.
    Собранные события «прогоняются» через модели угроз DatAlert.
    Syslog – наиболее часто используемый протокол для отправки лог-файлов на центральный сервер, использует UDP, TCP или TLS (зашифрованный TCP) как протокол коммуникации. Коллектор Varonis служит Syslog-сервером для сбора событий от устройств.

  • На каком этапе Edge может выявить кибератаку?

    Varonis Edge выявляет признаки кибератаки на каждом из этапов ее реализации – от раннего проникновения в сеть, перемещения внутри сети и до повышения привилегий для получения контроля над данными и их эксфильтрации. Модели угроз Varonis анализируют данные, поступающие от Edge, и сопоставляют их с данными файловой активности и результатами мониторинга AD. Все это позволяет увидеть полную картину того, какие конкретно действия предпринимает хакер на каждом этапе атаки.

Хотите узнать больше?

Закажите интерактивную демонстрацию возможностей Varonis, которую мы проведем в удобное для вас время.
Заполните форму или позвоните нам +7(495) 997 63 66
Запросить демонстрацию