Edge

Odhalte hrozby na hranicích sítě

Naše bezpečnostní analýza je nejlepší ve své třídě. Pomocí kombinace hraniční telemetrie a monitorování přístupu k datům odhaluje a zastavuje malware, vniknutí APT a úniky dat.
Vyžádat demo
 
 

Sledujte podezřelé aktivity od jádra až po okraj

Nástroj Edge analyzuje metadata z hraničních technologií, jako jsou DNS, VPN a webové proxy servery, a vyhledává v nich známky napadení hranice. Aktivitu na hranicích dáváme do kontextu s uživatelskými přístupy k datům v jádru sítě, geolokací, členstvím v bezpečnostních skupinách a dalšími aspekty. Analytici vašeho bezpečnostního centra tak dostávají věrohodnější a smysluplnější varování.

Analyzujte aktivitu na okrajových zařízeních včetně DNS, VPN a webových proxy serverů.
Používejte ve své bezpečnostní telemetrii geolokaci a informace o hrozbách.
Sledujte potenciální úniky dat na hranici sítě a útoky přímo na vstupních bodech.
Vyžádat demo
 

Zjednodušte bezpečnostní vyšetřování

Edge vám ušetří manuální práci při vyšetřování. Všechno, co potřebujete k reakci na incident, získáte na jedné intuitivní prošetřovací obrazovce.

Analytici mohou rychle zjistit, zda uživatel k síti přistupuje z (pro něj) běžného místa, zda má určitý účet privilegia, zda došlo k přístupu k citlivým údajům, zda k události došlo během normální pracovní doby daného uživatele a mnoho dalšího.

Tento kontext jim pomůže určit, zda varování upozorňuje na skutečné narušení bezpečnosti nebo jen na nepodstatnou anomálii.

Informace z posouzení rizika

Uživatel
 corp.local/ Dan Nespokojený Dan pracuje
z neobvyklého místa.

Jde o privilegovaného uživatele: Dan je administrátor.
Účet nebyl změněn
Nová lokalita pro tohoto uživatele
Pro uživatele bylo vydáno upozornění na geografický přesun

1 další informace
Zařízení
 1 zařízení Děje se něco divného.

První použití zařízení Dan-PC za 90 dní před vydáním tohoto upozornění.

0 další informace
Data
 24 souborů Dan tyto citlivé údaje obvykle nevyužívá.

Pro 100 % dat jde o první přístup uživatele Dan Nespokojený za posledních 90 dní.

Bylo dotčeno 24 citlivých objektů

0 další informace
Čas
 10/04/16 16:24
10/04/16 18:56		 Vše se děje mimo Danovu běžnou pracovní dobu.

100 % událostí nastalo mimo pracovní dobu uživatele Dan Nespokojený.

0 další informace
 

Edge normalizuje surová data o událostech, takže to nemusíte dělat vy

Hraniční zařízení zaznamenávají mnoho informací, zpravidla neuspořádaných, a způsob zápisu protokolů se mezi výrobci a jednotlivými typy liší. Bezpečnostní analytici by měli věnovat čas odhalování hrozeb, místo aby bojovali s protokolovými soubory. Edge odstraní šum a poskytne vám jasné a pro lidi čitelné události.
 

Bezpečnostní analýza celého průběhu útoku

Automatizované modely hrozeb, které vytváří DatAlert, pomáhají odhalovat útoky hrubou silou, rozšiřování privilegií, šíření v rámci sítě, malware, útoky APT a další.

Úspěšné útoky hrubou silou zaměřené na konkrétní účet
Zahlcení cache DNS
Únik dat pomocí tunelování DNS
Nahrání neobvyklého množství dat na externí web poté, co došlo k přístupu k datům chráněným GDPR
Atypický přístup k platformě z hlediska lokality
Neobvyklé chování: aktivita ze zakázané lokality
Neobvyklé chování služeb: nahrání dat na externí weby
Neobvyklé požadavky na reverzní vyhledání DNS na různé IP
Neobvyklý počet neúspěšných dotazů na DNS
Neobvyklý počet uživatelů se pokusil připojit z jedné externí IP adresy
Útok z vnějšího zdroje pomocí seznamu ukradených přihlašovacích údajů
Pokus o oslabení šifrován
Rychlý útok hrubou silou zaměřený na konkrétní účet
Potenciální útok hrubou silou zaměřený na konkrétní účet
Neobvyklé chování služeb: nahrání dat na externí weby
Neobvyklé chování: aktivita z lokality, která je pro tuto organizaci nová
Neobvyklé chování: bezdůvodný geografický přesun
 

Sledujte potenciální úniky dat na hranici sítě a útoky přímo na vstupních bodech

Edge dokáže dodat další informace k upozorněním na neobvyklý přístup k datům, zaslaným na základě modelů hrozeb systémem DatAlert. Doplní je o další kontext z hraniční telemetrie:

  • Helena přistupuje k neobvyklému množství citlivých dat na souborovém serveru.
  • Je připojena vzdáleně ze zařízení, které nikdy předtím nepoužívala.
  • Její IP adresa ukazuje na podezřelou lokalitu.
  • Události na proxy serveru ukazují, že nahrává velké množství dat na adresu mega.co.nz.
  • Události Active Directory ukazují na pokus o rozšíření privilegií.
 

Bezešvé propojení s vaším systémem SIEM

Jak to funguje
  • Hraniční telemetrické události ze svého systému pro správu bezpečnostních informací a událostí (SIEM) předáte nástroji Edge prostřednictvím jednoho z předpřipravených konektorů.
  • Jakmile je aktivován některý model hrozby, pošle Edge upozornění obohacená o kontext zpět do vašeho SIEM.
  • V upozornění systému SIEM bude uveden odkaz vedoucí zpět přímo na prošetřovací obrazovku systému Varonis.

Nemáte SIEM? Nevadí. Edge dokáže shromažďovat informace o informacích na hranici sítě i přímo prostřednictvím syslogu. Analytici mohou využívat bezpečnostní analytické panely a vyšetřovací funkce systému DatAlert.

Odborný článek

5 úskalí bezpečnostní analýzy a jak se jim vyhnout

Přečtěte si, jak mohou bezpečnostní analytici překonat běžná úskalí a omezit počet falešných poplachů, urychlit vyšetřování a rychleji zastavit více útoků.

Přečíst
 

FAQ Často kladené otázky

Všeobecné informace

  • Jaké proxy servery podporujete?

    • Symantec (Bluecoat) ProxySG
    • McAfee Web Proxy
    • Forcepoint (Websense) Web Security
    • Palo Alto URL Filtering
    • Cisco (IronPort) Web Security Appliance AsyncOS
    • Squid version 3.x
    • Apache HTTP Server verze 2.x
    • Zscaler Proxy verze 5.x

  • Jaké VPN podporujete?

    • F5 Access Policy Manager (APM)
    • Palo Alto GlobalProtect
    • Fortinet Forticlient
    • Cisco ASA
    • Pulse Secure
    • Checkpoint

  • Jaké DNS podporujete?

    • Microsoft DNS Server

  • Umožňujete propojení se systémem SIEM?

    Ano – Edge lze přímo propojit s nástrojem Splunk, případně s vaším SIEM prostřednictvím jednoho z našich konektorů.

  • Jak shromažďujete události?

    Edge události získává přímo ze zdrojových zařízení, k čemuž používá Syslog a Splunk, nebo z vašeho systému SIEM prostřednictvím jednoho z našich konektorů.

    Tyto události lze prohledávat a sestavovat z nich přehledy. Používají je také nové modely hrozeb DatAlert Analytics, indikátory stránkových varování a modely hrozeb DatAlert.

    Syslog je nejběžnější formát používaný k zasílání protokolových údajů na centrální server. Jako komunikační protokol využívá UDP, TCP nebo TLS (šifrované TCP). Konektor Varonis funguje jako server Syslog a naslouchá protokolovým zprávám přicházejícím ze zařízení.

  • Jaké fáze útoku pokrýváte?

    Varonis Edge analyzuje aktivitu uživatelů pokrývající celý průběh útoku. Od prvotního průniku přes šíření v síti a rozšiřování privilegií až po ovládnutí zařízení a únik dat. Naše modely hrozeb analyzují jak údaje z Varonis Edge ohledně daného souboru, tak i aktivitu v Active Directory. Tím vytvářejí úplný obraz činnosti útočníků.

Chtěli byste vidět Varonis v akci?

Vyžádejte si ukázku nebo kontaktujte prodejní oddělení na čísle +420 220 972 426.
Vyžádat demo