7 nejlepších nástrojů pro lov hrozeb pro rok 2022
Termín ' lov hrozeb “ znamená vyhledávání škodlivých aktivit v IT systému. Tyto činnosti se mohou odehrávat v současné době nebo již k nim došlo
Systémy pro vyhledávání hrozeb se zřídka prodávají jako samostatné balíčky. Místo toho se jedná o techniku, která se používá jako součást službu kybernetické bezpečnosti .
Zde je náš seznam sedmi nejlepších nástrojů pro lov hrozeb:
- VOLBA REDAKTORA SolarWinds Security Event Manager Jeden z nejkonkurenceschopnějších nástrojů SIEM na trhu se širokou škálou funkcí správy protokolů. Získejte 30denní bezplatnou zkušební verzi.
- Koncový bod VMWare Carbon Black EDR, která je založena v cloudu, ale zahrnuje datové kolektory nainstalované na monitorovaných zařízeních.
- CrowdStrike Falcon Overwatch Kompletní bezpečnostní operační centrum poskytované na základě předplatného, které zahrnuje systém SaaS EDR, nazvaný Falcon Insight, plus techniky pro spuštění softwaru a bezpečnostní analýzy pro manuální vyhledávání hrozeb.
- Trend Micro Managed XDR Předplatitelská služba, která nabízí vyhledávání softwarových i lidských hrozeb, které automaticky implementuje reakce na zastavení útoků.
- Cynet 360 Inovativní cloudový systém kybernetické obrany, který odvádí vetřelce od cenných aktiv pomocí modulu Deception, který také vystavuje zákeřnou činnost kontrole a analýze.
- Exabeam Fusion Obě možnosti jsou nabízeny ve formátech SIEM a XDR a používají stejné postupy vyhledávání hrozeb. Toto je cloudová platforma.
- Rapid7 InsightIDR Služba SIEM a XDR, kterou lze přidat k dalším službám ze stejné cloudové platformy, jako je například zdroj informací o hrozbách.
Lovec hrozeb je vyhledávací nástroj, který prohledává data o aktivitě a hledá známky nežádoucího chování.
Typy systémů, které mají vestavěný lov hrozeb, jsou:
- Antivirus (OFF)
- Detekce a odezva koncového bodu (EDR)
- Rozšířená detekce a odezva (XDR)
- Správa bezpečnostních informací a událostí (SIEM)
- Systémy detekce narušení (IDS)
- Systémy prevence narušení (IPS)
- Informace o kybernetických hrozbách (CTI)
Všimnete si, že firewally nejsou zahrnuty v seznamu. Přestože brány firewall kontrolují provoz, jejich činnosti nejsou obecně klasifikovány jako vyhledávání hrozeb. Firewall filtruje provoz.
Strategie lovu hrozeb
Systémy vyhledávání hrozeb hledají v systémových datech indikátory útoku nebo neobvyklé chování. Zdrojem těchto dat jsou obvykle zachycená data o výkonu a zprávy protokolu. Hledání hrozeb lze provádět na zařízení, ale je efektivnější, pokud jsou všechna data o aktivitě ze všech zařízení v síti strany na jednom centrálním místě. To umožňuje lovci hrozeb hledat škodlivé aktivity, které se pohybují mezi zařízeními, aby systém kybernetické bezpečnosti mohl rozpoznat a zablokovat šířící se útok.
Hrozby mohou být implementovány ve formě software nebo manuální činnost jednotlivcem. Téměř ve všech případech bude škodlivá aktivita prováděna v rámci oprávněného uživatelského účtu.
Pokud někdo zvenčí používá platný účet, bude to kvůli převzetí účtu . K tomu může dojít kvůli slabému zabezpečení ve formě prolomitelných hesel. Hackeři mohou také získat přihlašovací údaje k účtu tím, že přimějí uživatele k odhalení.
Pokud je zlomyslným aktérem zaměstnanec, mohl být dotyčný uživatel oklamán nebo mu bylo vyhrožováno, aby jednal jménem někoho zvenčí. A nespokojený zaměstnanec může chtít poškodit podnik krádeží nebo vyzrazením citlivých dat nebo prodejem dat za účelem finančního zisku.
Ačkoli je software obvykle zapojen do škodlivé události, ne vždy se jedná o malware nebo neautorizované systémy nainstalované hackerem. The autorizované aplikace které jste nainstalovali pro použití pracovníky společnosti, mohou zpracovávat a přesouvat data a mohou také sloužit škodlivým zasvěcencům a vetřelcům.
Automatické a manuální vyhledávání hrozeb
Procesy vyhledávání hrozeb jsou zabudovány do softwaru pro kybernetickou bezpečnost. Nicméně lov hrozeb může být lidská činnost také. Prohlížeč dat s možností vyhledávání a třídění umožňuje specialistovi na kybernetickou bezpečnost analyzovat data a pátrat po možném zneužití dat.
Ačkoli si správce systému může všimnout něčeho zvláštního na aktivitě uživatelského účtu a chtít to dále prozkoumat, vyhledávání hrozeb je obvykle činností prováděnou specializovanými profesionály. Jen málo podniků je dostatečně velkých na to, aby si mohly dovolit udržet si kvalifikaci specialista na kybernetickou bezpečnost na zaměstnance, takže je pravděpodobnější, že se s těmito odborníky setkáte, že pracují pro poradenské společnosti a zapojí se do dat klientské společnosti, když jsou vyzváni k vyřešení pohotovost .
Firmy mohou vytvořit pokračující smlouvu na poradenské služby tím, že se zaregistrují do a spravovaný bezpečnostní balíček , která zahrnuje jak ochranný software, tak služby odborníků na kybernetickou bezpečnost k analýze dat v případě anomálií, které software nedokáže kategorizovat.
Nejlepší nástroje pro lov hrozeb
Oblast vyhledávání hrozeb nabízí řadu konfigurací a zahrnují místní softwarové balíčky, platformy SaaS a spravované služby. Při hledání dobrých příkladů systémy lovu hrozeb abychom mohli doporučit, musíme si uvědomit, že různé velikosti a typy podniků budou mít různé potřeby. Proto není možné doporučit jediný balíček, který lze snadno identifikovat jako nejlepší dostupnou možnost.
Co byste měli hledat v nástroji pro lov hrozeb?
Prozkoumali jsme trh se systémy kybernetické bezpečnosti, které zahrnují procesy hledání hrozeb, a analyzovali dostupné možnosti na základě následujících kritérií:
- Služba shromažďování dat pro předávání informací o událostech lovci hrozeb
- Agregace dat pro standardizaci formátu záznamů událostí
- Možnosti ruční analýzy
- Nastavení automatické odezvy
- Vláda detekce hrozeb bezpečnostní politikou
- Bezplatná zkušební verze nebo demo systém pro posouzení systému před zaplacením
- Hodnota za peníze, poskytovaná komplexní bezpečnostní ochranou za odpovídající cenu
S ohledem na tato kritéria jsme identifikovali spolehlivé nástroje kybernetické bezpečnosti, které zahrnují vynikající postupy vyhledávání hrozeb. Ujistili jsme se, že zahrneme možnosti místních služeb, SaaS a spravovaných služeb.
1. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Správce událostí zabezpečení SolarWinds je nejlepší volbou pro ty systémové manažery, kteří chtějí mít vše u sebe. Balíček běží na vašem serveru a prozkoumává všechny ostatní koncové body v síti. Tento systém pracuje na živých datech o výkonu sítě čerpaných ze zdrojů, jako je např Simple Network Management Protocol (SNMP) a také protokolové zprávy.
Klíčové vlastnosti:
- Sběratelé souborů protokolu
- On-premise
- Správce citlivých dat
- Audit shody
- Hledání hrozeb na základě podpisu
Balení obsahuje konektory rozhraní k aplikacím a extrahování dat událostí. Součástí systému je také a monitor integrity souborů který zaznamenává přístup k souborům a změny provedené v jejich obsahu. Toto je a správce citlivých dat který dohlíží na nominované soubory a složky.
Údaje o výkonu a zprávy protokolu se poté převedou do společného formátu, který se nazývá „ konsolidace “. Nástroj předkládá tyto záznamy modulu vyhledávání hrozeb k analýze.
Škodlivé činnosti, které lovec hrozeb detekce lze okamžitě zastavit. Tento lovec hrozeb je služba založená na signaturách, která hledá indikátory útoku. Součástí systému je seznam odpovědí, které jsou volány korelační pravidla . Ty určují akci, která se má provést v případě zjištění hrozby. Těmito akcemi může být blokování provozu z a na konkrétní IP adresu, pozastavení uživatelského účtu, vypnutí procesu a smazání souboru.
Klady:
- Působí jako SIEM
- Spravuje soubory protokolu
- Implementuje automatické reakce
- Upozornění na podezřelou aktivitu
- Používá živá síťová data i protokoly
Nevýhody:
- Žádná cloudová verze
SolarWinds Security Event Manager se nainstaluje na Windows Server a je k dispozici pro30denní bezplatná zkušební verze.
VÝBĚR REDAKCE
Správce událostí zabezpečení SolarWindsje naší nejlepší volbou pro balíček vyhledávání hrozeb, protože vám umožňuje mít plnou kontrolu nad vašimi IT službami. Mnoho manažerů IT systémů stále není spokojeno s rozšířením cloudových systémů, protože tato strategie omezuje kontrolu, poskytuje další možnosti pro vstup narušitelů a vyžaduje, aby některé podrobnosti o podniku byly uloženy na externím serveru.
Stažení:Získejte 30denní bezplatnou zkušební verzi
Oficiální stránka:https://www.solarwinds.com/security-event-manager/registration
VY:Windows Server
2. Koncový bod VMWare Carbon Black
Koncový bod VMware Carbon Black chrání více koncových bodů. Každý zaregistrovaný koncový bod má nainstalovaného agenta a tato jednotka komunikuje s cloudovým datovým procesorem Carbon Black.
Klíčové vlastnosti:
- Inteligence o hrozbách
- Detekce anomálií
- VZDÁT SE
- Rychlý lov hrozeb
Síťový agent také komunikuje s bezpečnostními nástroji třetích stran jako součást techniky, která se nazývá bezpečnostní orchestraci, automatizaci a odezvu (STÁT). Systém SOAR shromažďuje informace z bezpečnostních nástrojů třetích stran, jako jsou brány firewall, a přidává je do fondu informací shromážděných v cloudu.
The lov hrozeb modul v balíčku Carbon Black se nazývá Prediktivní cloudové zabezpečení , který je pozoruhodný svou schopností velmi rychle prohledávat velké kolekce dat. Detekce spouští hrozbu pokyny k reakci které jsou odesílány agentům zařízení a také nástrojům třetích stran, které jsou zaregistrovány v systému SOAR.
Klady:
- Vzájemná výměna hrozeb mezi klienty
- Rady pro zpevnění systému
- Automatické odpovědi
- Chraňte více stránek
Nevýhody:
- Nezahrnuje správce protokolů
The SaaS balíček implementuje vyhledávání hrozeb pro každého klienta a poté shromažďuje všechna zjištěná data pro centrální vyhledávání pro všechny klienty. Tento lov centrální hrozby poskytuje zpravodajství o hrozbách o hackerských kampaních a varuje klienty před útokem. Můžete požádat demo systému VMWare Carbon Black Endpoint.
3. CrowdStrike Falcon Overwatch
CrowdStrike Falcon je cloudová platforma bezpečnostních nástrojů, které zahrnují EDR, tzv Porozumění a XDR . EDR se koordinuje se systémy CrowdStrike na zařízení a XDR přidává na SOAR.
Klíčové vlastnosti:
- Na základě anomálie
- Lov místních hrozeb
- Konsolidovaný cloudový lov hrozeb
Jediným produktem CrowdStrike, který běží na koncových bodech, je antivirový balíček nové generace, tzv. Falcon Prevent . Toto provádí své vlastní lov hrozeb a implementuje obranné reakce. Pokud si kupující Falcon Prevent také předplatil jeden z cloudových systémů, AV vystupuje jako agent k tomu.
Účinkují Falcon Insight i Falcon XDR lov hrozeb v cloudu ve fondu dat nahraných ze všech koncových bodů zapsaných v plánu. Tento proces vyhledávání hrozeb lze vylepšit pomocí zdroje informací o hrozbách, tzv Falcon Intelligence .
Firma, která nechce mít mezi zaměstnanci bezpečnostního experta, by přišla o výhodu ruční lov hrozeb a expertní bezpečnostní analýzy. CrowdStrike uspokojuje tuto potřebu pomocí Overwatch balík. Jedná se o kompletní bezpečnostní operační centrum, které poskytuje klientům s předplatiteli detekci hrozeb v celém systému a správu odezvy. Toto je balíček Falcon XDR SaaS s přidanými bezpečnostními analytiky.
Klady:
- Možnost řízené služby
- Inteligence o hrozbách
- VZDÁT SE
Nevýhody:
- Posouzení mnoha možností může chvíli trvat
Plán Overwatch zahrnuje instalaci Falcon Prevent na každý koncový bod. Můžeš dostat 15denní bezplatná zkušební verze of CrowdStrike Falcon Prevent.
4. Trend Micro Managed XDR
Trend Micro Managed XDR je plán SOC-for-hire, který přidává služby bezpečnostních specialistů Trend Micro Vision One balíček zabezpečení systému. Vision One je SaaS XDR s agenty na zařízení a SOAR, který oslovuje bezpečnostní nástroje třetích stran.
Klíčové vlastnosti:
- Víceúrovňový lov hrozeb
- Bezpečnostní analytici
- VZDÁT SE
Služba Vision One je cloudový koordinátor rezidentních AV koncových bodů Trend Micro na zařízení, které lokálně provádějí vlastní vyhledávání hrozeb. Tyto jednotky nahrávají data o aktivitě na server Trend Micro celopodnikový lov hrozeb . Nazývá se systém Trend Micro pro detekci hrozeb Zero Trust Risk Insight . Hledá anomální přístup k aplikacím, identifikuje vnitřní hrozby a narušení.
Spravovaná služba zahrnuje automatizované systémy a expertní analytiky. Ruční lov hrozeb snižuje nepříjemnosti způsobené zřídkakdy legitimními úkoly, které jsou blokovány automatizovanými procesy EDR. Analýza může také poskytnout doporučení pro zpevnění systému.
Klady:
- Vhodné pro podniky, které nemají na výplatní pásce žádné bezpečnostní experty
- Může spravovat zabezpečení pro více webů
- Hlášení o shodě
Nevýhody:
- Dražší než samoobslužné možnosti
Můžete získat přístup k demo systému, který se nazývá Testovací jízda Vision One .
5. Platforma Cynet 360 AutoXDR
Platforma Cynet 360 AutoXDR obsahuje vrstvu vyhledávání hrozeb, která shromažďuje informace o škodlivé činnosti z nástrojů třetích stran na místě. Tato platforma je rezidentem v cloudu a poskytuje několik nástrojů, které pomáhají automatickým systémům na místě detekovat hrozby.
Klíčové vlastnosti:
- Cloudové
- Lokální sběrače dat
- Techniky klamání
Služby identifikace hrozeb Cynet 360 zahrnují sandboxing a a hrnec medu systém, který poskytuje falešný teaser hackerům a přitahuje je do analytické jednotky.
Stejně jako vlastní struktura výzkumné laboratoře Autonomní ochrana proti narušení systém v Cynet 360 shromažďuje místní informace prostřednictvím agentů v síti tzv Spojení senzorů . Nasadí se proces vyhledávání hrozeb analytika chování uživatelů a entit (UEBA) k posouzení záměru pravidelného obchodního provozu v síti a blokování škodlivé činnosti prostřednictvím SOAR.
Klady:
- Hledání hrozeb na základě anomálií s UEBA pro základní linii
- VZDÁT SE
- Paměťová forenzní
Nevýhody:
- Žádný správce protokolů
Cynet nabízí 14denní bezplatná zkušební verze platformy AutoXDR.
6. Exabeam Fusion
Exabeam Fusion je cloudová platforma s on-site agenty, která implementuje detekce hrozeb, vyšetřování a reakce (TDIR). Balíček může fungovat jako XDR nebo SIEM. Nástroj čerpá zdrojová data od svých agentů na místě, aby je vložil do detekce hrozeb modul, který funguje v cloudu.
Klíčové vlastnosti:
- Hledání hrozeb na základě anomálií
- UEBA
- Hlášení o shodě
Služba vyhledávání hrozeb Exabeam Fusion využívá detekci anomálií, na které je postavena UEBA pro základní činnost. Službu lze přizpůsobit konkrétním požadavkům standardů ochrany dat a poté také automaticky generuje hlášení o shodě.
Systém spoléhá na log informace pro zdrojová data a může se přímo propojit se seznamem softwarových balíků prostřednictvím knihovny konektory . Služba bude také konsolidovat a ukládat protokoly pro manuální analýzu vyhledávání hrozeb a audit shody.
Klady:
- Shromažďuje data o aktivitě z aplikací
- Zkoumá soubory protokolu z operačních systémů
- Správa protokolů
Nevýhody:
- Koncové body nejsou chráněny, pokud jsou odpojeny od sítě
Můžete posoudit Exabeam Fusion pomocí demo .
7. Rapid7 InsightIDR
Rapid7 je cloudová platforma modulů kybernetické bezpečnosti. Z nabídky možností si vyberete, které služby chcete, a tyto balíčky se spojí. Cloudový systém se nazývá Rapid7 Insight a nazývá se balíček XDR na této platformě InsightIDR – IDR znamená „ detekce a reakce na incidenty “ a může být také použit jako SIEM nové generace.
Klíčové vlastnosti:
- SIEM
- Inteligence hrozeb
- Jak na anomálii, tak na základě podpisu
Služba InsightIDR vyžaduje instalaci agentů na chráněné koncové body. Nahrané protokoly shromážděné těmito agenty poskytují zdrojový materiál SIEM vyhledávání a budou také uloženy v souborech protokolu pro ruční vyhledávání hrozeb a audit shody.
Rapid7 poskytuje informace o hrozbách do služby vyhledávání hrozeb, která se nazývá Analýza chování útoku (ABA) modul. Tento systém ABA je založen na signaturách, ale spolupracuje s vyhledáváním UEBA založeným na anomáliích a poskytuje smíšenou strategii vyhledávání hrozeb.
Klady:
- Rychlé vyhledávání hrozeb díky třídění podle informací o hrozbách
- Používá UEBA
- Automatické odpovědi
Nevýhody:
- SOAR stojí navíc
Dalším balíčkem dostupným na platformě Insight je Insight Connect , která rozšiřuje možnosti InsightIDR přidáním VZDÁT SE konektory.
Můžete hodnotit Rapid7 InsightIDR pomocí 30denní bezplatná zkušební verze .