Решение от Symantec – Security Analytics
Системя записи и анализа сырого трафика для расследования инцидентов
Symantec Security Analytics Appliances являются частью наших решений для реагирования на инциденты и судебной экспертизы. Предварительно настроенные устройства «под ключ» используют программное обеспечение Symantec Security Analytics для сбора, индексирования, классификации и обогащения всего сетевого трафика (включая полные пакеты) в режиме реального времени. Эти данные хранятся в оптимизированной файловой системе для быстрого анализа, мгновенного поиска и полной реконструкции сессий для поддержки всех ваших действий по реагированию на инциденты. Апплайнсы могут быть развернуты в любой точке сети: по периметру, в ядре, в магистрали 10 GbE или на удаленном канале, чтобы обеспечить четкий, эффективный интеллект для быстрой реакции и разрешения инцидентов в режиме реального времени.
|
Ключевые возможности
|
«Камера наблюдения» в вашей сети
24/7 без потерь записи целых пакетов Интеллектуальная обогащенная система записи Трафик за дни, недели или месяцы Устройство, программное обеспечение, или VM |
ТОР-10 возможностей Symantec Security Analytics
1) Панель мониторинга предупреждений
На панели представлена гистограмма активности и новые «предупреждающие карты», отфильтрованные по оценкам угроз. На этой странице вы можете фильтровать свои оповещения по IP, по индикатору или по уровню угрозы.
Обнаружение аномалий
Функция обнаружения аномалий выполняет статистический анализ ваших перехваченных данных и предупреждает вас об аномальном поведении. Вы можете увидеть, когда произошла аномалия, как часто и какие другие конечные точки были задействованы.
2) SCADA
Промышленные системы управления (ICS) являются привлекательными объектами для кибер-атаки и, как и остальная часть сети, требуют полной видимости. Security Analytics поддерживает анализ протокола SCADA в промышленных средах управления. Также, выполняется контроль протоколов Modbus и DNP3, которые используются в работе на ядерных объектах, очистных сооружениях, электростанциях, нефтеперерабатывающих заводах, производственных объектах и многих других отраслях. Использование индикаторов, правил (уведомлений) и обнаружения аномалий возможно по индексированным атрибутам SCADA.
3) Динамическая фильтрация
Не весь аномальный трафик в равной степени вреден. Команды реагирования на инциденты могут исключить из анализа трафик, который они не рассматривают как угрозу и определить приоритетность доступных хранилищ для оптимизации расхода ресурсов. С помощью Security Analytics вы можете выборочно фильтровать и «не» собирать пакеты на основе правил (устранить потоковое видео/музыку, видеоконференции). Это позволит сосредоточиться на наиболее критичных задачах.
4) Режим «Capture Only»
В случае, когда требуется очень быстро перехватывать сырой трафик без необходимости обогащения его метаданными, выборочно отключите обогащение данных. При этом значительно повышается эффективность захвата трафика на одном устройстве.
5) Активные отчеты
Определите эксплойты и вредоносное ПО с отчетами Symantec Security Analytics, в которых представлена подробная картина сетевого трафика. Отчеты являются ключевой навигационной точкой, помогая с низкими трудозатратами быстро и точно находить нужные данные. Отчеты распределяются по категориям: applications, DNS, email activity, encryption, files, geolocation, network packets, social personas, threat intelligence, web activity.
6) Извлечение артефактов
Самым мощным функционалом для ситуационной осведомленности является способность Security Analytics реконструировать сетевой трафик, как будто он был передан вам как обычно, по сети. По перехваченным пакетам интуитивно понятно производится обнаружение, восстановление и доставка файлов в их исходном формате. Смотрите веб-страницу такой, как ее видел пользователь. Просмотр сообщений чата и электронной почты. Реконструирование PDF-файлов, документов Word, PPT-презентация, электронных таблиц Excel и многое другое в их исходном формате. Вы получаете возможность просматривать документы, а не только набор пакетов.
Хронологическая гистограмма сетевых артефактов помогает специалистам по реагированию на инциденты быстро визуализировать последовательность событий и значительно улучшает производительность поиска артефактов.
7)Классификация приложений
Symantec Security Analytics классифицирует более 2800 приложений в вашей сети; распознаются и индексируются тысячи атрибутов для удобного поиска. Вы не только можете определить конкретные приложения в сетевом трафике, вы можете искать атрибуты метаданных, такие как To, From, Subject Line, Protocol, Tunnel Initiator, обозначенный и детектированный MIME-тип и многое другое в сетевых потоках.
8) Сервис репутации / Обогащение данных
Аналитика безопасности обеспечивает проверку репутации по требованию нескольких доверенных поставщиков угроз, включая: Symantec ThreatExplorer, Domain Age, RobText, Team Cyrmu, YARA, WHOIS
9) Symantec Intelligence Services
Весь трафик, который был захвачен на устройстве Symantec Security Analytics, анализируется на предмет известных вредоносных сетевых, почтовых и файловых угроз. Security Analytics использует службы Symantec Global Intelligence Network, где собрана информация об угрозах от 175 миллионов конечных точек, сообщающих о миллиардах веб-угроз и URL-адресов.
10) Интеграция с другими средствами ИБ
Symantec Security Analytics может интегрироваться по REST API. Комплексное решение позволяет использовать такие технологии, как HP ArcSight, Splunk, IBM Qradar, Guidance, Countertack, Symantec ATP, песочницы и многое другое. Оптимизируйте рабочий процесс реагирования на инциденты и получите полные сведения об источнике и масштабе атаки.
Прочие возможности решения
11) Анализатор пакетов
Security Analytics включает полнофункциональный анализатор пакетов прямо на устройстве. Нет необходимости передавать огромные файлы по сети, чтобы определить, что пакеты, которые вы искали, там отсутствуют. Используйте синтаксис фильтра Wireshark и проведите свой глубокий анализ, не выходя из интерфейса Security Analytics. Отфильтрованные результаты будут легко доступны.
12) Панель мультимедиа
Панель мультимедиа позволяет быстро просматривать и анализировать все изображения и аудиофайлы, чтобы точно видеть, что видел пользователь. Фильтровать по файлу, расширению или размеру и связанным с ним метаданным, таким как: URL, IP-адрес источника / получателя, размер или тип MIME. Картинка порой заменяет тысячи слов, поэтому при расследовании инцидентов может стать ценным свидетельством несанкционированной деятельности.
13) Производительность / масштабируемость
Symantec Security Analytics способны захватывать весь трафик, попадающий в вашу сеть. Это дает вам полную запись сетевой активности. Устройства Security Analytics удовлетворяют жесткие требования крупнейших правительственных и корпоративных сетей, быстро восстанавливают и предоставляют реальные файлы из терабайтов сырых пакетных данных.
Варианты развертывания варьируются от небольших до специализированных устройств высокой плотности 10 Гбит с расширяемым хранилищем. Подходят для самых быстрых сетей на сегодняшний день. Symantec Security Analytics предоставляет вам возможность развертывания виртуального устройства. Крупные клиенты с обширными сетями выбрали Security Analytics как уникальное решение, способное удовлетворить их потребности в реагировании на инциденты.
Пассивно получая трафик от TAP или SPAN, Security Analytics невидима для остальной части вашей сети, захватывая трафик с линейными скоростями без добавления задержки.
14) Централизованное управление
Central Manager обеспечивает единую точку управления для Security Analytics 2G, 10G, VMs и высокоплотных хранилищ. Он обеспечивает централизованный доступ ко всем сенсорам Security Analytics для направленного, агрегированного поиска и управления. Благодаря поддержке более 200 сенсоров, Central Manager позволяет командам реагирования на инциденты проводить эффективные и всесторонние расследования по всей сети.
15) Сравнительная отчетность
Сравните захваченный сетевой трафик с предыдущими периодами, чтобы выявить признаки ненорм и установить базовую линию, а затем выделить и оповестить, когда происходят отклонения. Со сравнительной отчетностью вы понимаете тенденции с течением времени и определяете необходимость дальнейшего расследования.
16) Индикаторы / Правила
Индикаторы используют структурированный язык для наблюдения и идентификации конкретной деятельности. Используйте встроенные атрибуты метаданных, автоматически обновляемые данные сторонних индикаторов или используйте пользовательские обновления практически из любого источника.
Правила позволяют автоматизировать оповещения и общие действия для дополнительного анализа на основе любого показателя. Например, автоматически экспортируйте данные в PCAP, обогатите сохраненные метаданные или отправьте их в общий доступ к файлам, проанализируйте сторонними инструментами, такими как DLP.
17) Исследователь корневых причин
Быстрый переход к первопричине атаки с автоматической трассировкой цепей перенаправления HTTP. Проводник корневой причины коррелирует соответствующую информацию электронной почты, IM и HTTP для быстрого анализа и обнаружения того, как угроза попала в сеть и последующие действия. Как заявил один из пользователей: «Вы сделали одну из самых трудоемких функций для моей работы так же просто, как нажатие кнопки ... Это было просто!»
18) Импорт PCAP
Вы можете оптимизировать хранилище Security Analytics, экспортируя захваченный сетевой трафик как PCAP на внешнее хранилище для последующего импорта и анализа по мере необходимости.
19) Воспроизведение
Проигрывая ранее собранный трафик с обновленными инструментами анализа, вы можете определить, были ли вы заражены до того, как была классифицирована новая угроза.
20) Фильтр и воспроизведение трафика
Применение нескольких фильтров с возможностью запуска и остановки фильтров в любое время, продолжая фиксировать трафик. Это обеспечивает гибкость захвата трафика, который вы считаете наиболее важным для ваших исследований.
21) Расширенное хранение метаданных
Оптимизируйте хранилище, доступное на вашем устройстве Symantec Security Analytics, и создавайте независимые распределения хранилищ для метаданных и полных пакетов. Это позволяет сохранять и анализировать более длительные периоды метаданных и пакетов - недели, месяцы или более.
Решение от Symantec – SSL Visibility
Передача расшифрованного SSL на анализ системам ИБ
Просто развертывается. Высокая производительность. Универсальность решения.
- Обеспечивается видимость всего трафика SSL/TLS для всех портов и приложений
- Нет сложных сценариев и конфигураций
- Одновременное использование активных и пассивных устройств
- Всесторонняя, лидирующая в отрасли поддержка наборов шифров (RSA, DHE, ECDHE, ChaCha, Camilla и т.д.)
- Поддерживаются версии TLS 1.1 - 1.3 и механизмы handshake
- Не снижается уровень безопасности для пользовательских сеансов
- Снижение затрат на обновление аппаратного обеспечения от 3 до 5 раз, часто требуемых решениями безопасности для проверки SSL
- Получение требуемой видимости в зашифрованном трафике, что критически важно для разбора инцидентов ИБ
- Расширение возможностей имеющихся инструментов за счет подачи расшифрованного SSL/TLS трафика
- Широкий спектр применения политики
- Централизованное управление политикой
Лицензирование
| Наименование | Краткое описание | Принцип лицензирования |
|
Решение от Symantec – SSL Visibility |
Управление и дешифрация SSL трафика |
https://www.symantec.com/products/information-protection/encrypted-traffic-management |
|
Решение от Symantec – Security Analytics |
Система записи и анализа сырого трафика для расследования инцидентов https://www.symantec.com/products/ web-and-cloud-security/network- forensics-security-analytics |
Оборудование Security Analytics 2/10 G Appliance Gen 6, Security Analytics 2/10 G Appliance Gen 6 Cold Standby, Лицензии Upgrade from Cold Standby/TAB to Production |