Управлять кибербезопасностью, анализировать события в сети, молниеносно останавливать атаки — что умеет новое комплексное решение Group-IB.

О необходимости использовать так называемую эшелонированную защиту от кибератак на рынке информационной безопасности говорят уже не один десяток лет. Суть этой концепции заключается в установке на пути злоумышленников ряда барьеров в виде средств защиты на разных уровнях — периметре, серверах, рабочих станциях, удаленных рабочих станциях и др. Как правило, комплектовать свой арсенал средств защиты начинают со стандартного набора: антивирус (AV), антиспам ( Antispam), межсетевые экраны, желательно, класса NGFW (Next-Generation Firewall), различные системы обнаружения и предотвращения вторжений IDS/IPS (Intrusion Detection System, Intrusion Prevention System) и, например, “песочницы” для анализа вредоносного ПО в изолированной среде (Sandbox).

Однако довольно быстро специалистам по информационной безопасности становилось понятно, что решения от разных вендоров не “дружат” между собой. Для более эффективного управления ими, равно как и для более качественного обнаружения угроз на помощь пришли системы класса SIEM (Security information and event management), отвечающие за управление событиями безопасности, собранными из разных источников. Казалось бы, то, что надо.

Три запоздалых прозрения безопасника, который решил построить комплексную защиту от кибератак и сделал это “как все”

И тут наступает первое прозрение: SIEM зачастую не позволяет выявлять сложные целевые атаки, которые проводит квалифицированный атакующий low-profile инструментами и тактиками, какие бы правила корреляции под SIEM не писались. Тогда на помощь приходят современные EDR-решения (Endpoint Detection and Response), которые собирают много телеметрии с хостов и дают значительно больше возможностей для корреляции, и хантинга за угрозами. Но сколько бы событий по безопасности не добавлялись в SIEM… многие киберугрозы все равно проходят ниже радаров.

Наступает второе запоздалое прозрение специалиста по безопасности: внедренные разрозненные решения надо как-то заставить работать вместе и дополнять друг-друга. Мы же помним, что задача безопасника — наставить как можно больше препятствий на пути атакующих. А значит ему нужно не просто коррелировать события, а чтобы каждое из решений имело "обратную связь" с "соседним" решением по безопасности.

Например, если антивирус что-то обнаружил, то EDR должен среагировать на это, отправить файл на анализ в Sandbox, извлеченные индикаторы компрометации (IoC, Indicators of compromise) из Sandbox надо отправлять в NGFW и т.п. Таким образом, наш безопасник, как и весь рынок, рано или поздно придет к SOAR-решениям для “оркестрации” всех средств защиты (SOAR — Security Orchestration, Automation and Response), что должно позволить объединить весь свой “оркестр” в единую систему и автоматизировать реагирование на инциденты. Вроде звучит неплохо, но как бы не интегрировались решения между собой, все еще не решена проблема, что все подряд события приходят в SIEM, которая уже и так перегружена и начинает “пропускать” то, что нужно остановить.

Поэтому наступает третье и окончательное прозрение безопасника — нет необходимости отправлять все события в SIEM, потому что для обнаружения угроз большая часть из них просто не нужна. Так появляется новый класс решений, который отвечает за роутинг и фильтрацию событий в SIEM. А наш безопасник втягивается в бесконечную гонку, направленную на то, чтобы не обнаруживать угрозы, а сделать систему информационной безопасности более управляемой, единой и универсальной.

И вот, наконец, на рынке стали появляться XDR-системы (Extended Detection and Response), призванные снять головную боль с безопасников во всем мире. Являясь своего рода “элитной нишей” на рынке кибербезопасности, они лишены недостатков всех ранее известных подходов к созданию эшелонированной защиты и позволяют:

  • собирать, связывать и анализировать данные из разных источников, давая безопаснику мощный инструмент постоянного контроля всех событий, которые происходят внутри его сети, на каждом устройстве, а также внешних событий, способных представлять угрозу его компании;

  • многократно ускорить реагирование на инцидент, что позволяет быстро остановить атакующих и минимизировать потенциальный ущерб;

  • обнаруживать максимально возможный спектр угроз, начиная с фишинга и заканчивая сложными целевыми атаками, в полностью автоматизированном режиме;

  • проводить Threat Hunting по телеметрии от EDR с хоcтов, сетевого трафика и почты из единого Security Data Lake;

  • обеспечивать “видимость 360” и управляемость всеми решениями по безопасности, позволяя извлечь из каждого них максимальную эффективность;

  • проводить глубокое расследование инцидентов начиная с patient zero (первого зараженного устройства в сети) до дальнейшего развития атаки, что позволяет контролировать все возможные каналы исполнения угроз в инфраструктуре компании.

Итак, говоря по простому, XDR – это новый класс решений для продвинутого обнаружения, реагирования и остановки угроз, способный сбалансировано и качественно собирать только нужные для защиты данные, анализировать все “голоса” каждого средства защиты и давать безопаснику возможность наслаждаться полным контролем вверенных ему активов компании.

Дополним, что XDR можно разделить на 2 категории:

  1. Решения-прослойки, которые собирают только необходимые данные с систем безопасности для более качественного обнаружения угроз и расширенной аналитики при анализе алертов или отдельных событий.

  2. Решения, которые работают комплементарно, не затрагивая уже внедренные средства безопасности, при этом устраняя все недостатки, описанные в этом длинном введении, а именно — “недружный зоопарк” решений, потерю управляемости, перегруз ненужными событиями и пропуск угроз “ниже радаров”.

То, что XDR-решения стали ответом на самые больные вопросы безопасников, стало понятно сразу после появления этого класса наиболее технологичных и “умных” решений для защиты предприятий во всем мире. И раз уж мы теперь знаем, что такое XDR, как и зачем его нужно использовать, давайте разберемся, на что нужно обращать внимание при его выборе.

Мы написали этот блог для того, чтобы рассказать, как мы пришли к созданию собственного XDR-решения, что у него “под капотом” и почему это супероружие, которое может использоваться намного шире, чем защита компании или ее клиентов. С его помощью вы сможете исследовать атакующих, учиться и учить свою команду полноценной охоте за киберугрозами (Threat Hunting) и вносить свой вклад в борьбу с киберпреступностью. А это, согласитесь, миссия, достойная супергероев. Готовы?

Поехали!

Group-IB Managed XDR — для продвинутых безопасников

Начнем, пожалуй, с позиционирования: решение Managed XDR является частью Group-IB Unified Risk Platform — единой платформы решений и сервисов для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Сейчас искушенного заказчика сложно удивить, но Unified Risk Platform — это не имеющая аналогов разработка, которая позволяет многократно увеличить уровень информационной безопасности бизнеса и защитить его от максимально широкого спектра киберугроз. Например, решение Managed XDR, которое мы сегодня будем детально рассматривать в этом блоге — позволяет компаниям реагировать на угрозы на 20% быстрее. При этом обеспечивает возврат инвестиций свыше 272% (источник: аналитическое исследование Forrester).

Начнем с простого: поставки. Решение Group-IB Managed XDR может быть поставлено в двух вариантах:

  • On-prem, когда весь комплекс будет развернут внутри периметра клиента.

  • "Облачное" решение, и, конечно, же это облако будет находится в стране или регионе клиента, в соответствии с локальным законодательством. Важно отметить, что мы можем предоставлять наши услуги (Managed Detection, Managed Threat Hunting, Managed Responce), независимо от типа установки — как на XDR в нашем облаке, так и on-prem XDR, который установлен у клиента в инфраструктуре.

Полное решение XDR состоит из следующих компонентов:

  • Endpoint Detection & Response (EDR)

  • Network Traffic Analysis (NTA)

  • Malware Detonation Platform (MDP)

  • Business Email Protection (BEP)

  • Threat Intelligence (TI)

  • Managed Services (MS)

Все эти компоненты арсенала супергероя и борца с киберпреступностью уже "дружат" и работают вместе как единое целое. Не нужно заниматься их интеграцией, писать плейбуки или правила корреляции событий. У вас есть миссия поважнее. Но что делать если у вас уже были внедрены решения от других вендоров: EDR или Sandbox, например? Будет ли MXDR работать с такой же отдачей? Ответ: да. Мы создали его максимально удобным и, чтобы не заставлять вас заниматься интеграционными работами, мы заранее решили две основные задачи:

  1. Сделали все наши модули совместимыми и комплементарными — они не только дополняют уже существующие у вас решения и не конфликтуют с ними, но и собирают их данные (за это отвечает EDR) и, в случае обнаружения угрозы на их стороне, используют эти данные.

  2. Оптимизировали стоимость: вам не нужно платить дважды за EDR или NTA. Модули EDR или NTA работают в режиме коннектора, который входит в общую стоимость лицензии на XDR.

Теперь мы добрались до самого интересного: давайте посмотрим на супероружие в действии и оценим его с точки зрения обнаружения, предотвращения и реагирования на киберугрозы. Главное, что важно переосмыслить — с этого момента вы забудете о том, что когда-то рассматривали детектирование каждым модулем в отдельности. Вся сила XDR проявляется, когда все его компоненты работают вместе как единое целое и каждый модуль связан друг с другом. Такая синергия достигается за счет уже внедренных плейбуков описывающих нативное взаимодействие каждого компонента.

Итак, возьмем за примеры реальные сценарии из практики защиты наших клиентов с помощью Managed XDR:

Сценарий 1. "Синергия”

1) NTA обнаружил угрозу в сетевом трафике. Основная проблема в том, что при анализе трафика, система видит только IP-адреса источника и назначения. Но нам этого мало. Поэтому автоматизированно запускаются следующие этапы: автоматический поиск хоста, с которого идет вредоносный трафик, затем идентификация процесса, связанного с этим сетевым соединением, и в итоге — восстановление хронологии, предшествующей этому соединению для быстрого определения источника заражения. Эта автоматизация достигается за счет XDR, поскольку данные о трафике и активности с хостов находятся в едином Security Data Lake.

2) Поскольку на предыдущем шаге уже известен процесс и хронология событий, все подозрительные файлы должны автоматически отправляться в Malware Detonation Platform для более детального анализа. Основная задача здесь не просто подтвердить вредоносность файлов, а именно извлечь файловые и сетевые индикаторы, поэтому важно "взорвать" их и заставить хорошо отработать в Malware Detonation Platform.

3) Благодаря анализу в Malware Detonation Platform, в нашем распоряжении есть вредоносные файловые и сетевые индикаторы. Достичь реальной точности непосредственно на хосте значительно тяжелее из-за другой активности, связанной с легитимной работой пользователя и приложений, которые создают много "шума". В MDP такого недостатка нет. Файловые индикаторы сразу попадают в базу EDR для проверки всех хостов, а сетевые индикаторы конвертируются в правила детекта в сетевом трафике. Таким образом, автоматически улучшается защита на хостах и на сетевом уровне.

Сценарий 2 “Комплементарность”

Представим, что антивирус или EDR от другого вендора сработал на хосте быстрее и обнаружил угрозу. Поскольку наш EDR уже находится на хосте, он видит все, что делает антивирус или другие агенты: заблокированные им процессы, удаленные или перемещенные в карантин файлы и др. Для EDR это является триггером, чтобы автоматически восстановить хронологию событий, и показать вам все детали по этому алерту. Преимущество в том, что не нужно писать специальных интеграций, поддерживать меняющиеся форматы логов или API. И главное, у клиента сохранилась возможность строить не просто эшелонированную защиту, а делать ее более совершенной, благодаря описанной обратной связи. Развивая этот сценарий, вредоносный файл также будет отправлен в Malware Detonation Platform, и сведения об этом вредоносном файле и других IoC автоматически станут известны всем остальным хостам.

Сценарий 3. “Киберразведка”

Очень важным преимуществом Group-IB XDR являются встроенные данные Threat Intelligence. Конечно, их можно использовать и в SIEM, но настоящую силу они обретают именно в XDR. Почему?

  • Во-первых, все сетевые и файловые индикаторы автоматически доставляются в NTA, EDR, MDP для детектирования угроз. Не нужно делать интеграций и дополнительных корреляций.

  • Во-вторых, при атрибуции "до семейства" или "до названия группы" атакующего в "один клик" становятся доступны описания, таймлайн атак этой группы, все связанные индикаторы компрометации, сведения про уязвимости, дополнительные сигнатуры, что дает понимание, кто и зачем вас атакует.

  • В-третьих, это возможность протестировать свою инфраструктуру на факт компрометации. Каждый бюллетень безопасности из Threat Intelligence с индикаторами компрометации проверяется автоматически. Но если клиенту нужно убедиться, что инфраструктура точно не затронута этой угрозой, достаточно нажать одну кнопку, чтобы был запущен поиск по всем архивным данным.

Сценарий 4. "Все чисто"

Средства безопасности чаще всего "слепы" там, где атакующий не использует вредоносных программ или не проводит активных действий, вроде сканирования сети или отправки больших объемов данных. Представим, что атакующий использует технику pass-the-hash и создает отложенную задачу, которая скачивает что-то из Интернета через 12 часов. И, как вы видите, компьютер уже скомпрометирован, но никаких вредоносных инструментов еще не используется. Детектировать эти простые и хорошо известные техники сложно, потому что они трудноотличимы от обычных пользовательских действий. Но MXDR увидит факт использование этих техник и на хосте, и на сетевом уровне. Более того, мы увидим то, что что сделает атакующий после применения техники pass-the-hash.

Security Data Lake и Threat Hunting

Стоит признать, что эксперты по безопасности пока не могут рассчитывать на то, что решения по защите от кибератак сделают всю работу за них. Они по-прежнему хотят держать все под своим контролем, и иметь возможность проверять качество построенной системы безопасности. Для таких целей в Group-IB XDR предусмотрено так называемое "озеро данных по безопасности" — Security Data Lake — куда попадает информация о сетевом и почтовом трафике, а также события активности с хостов. При этом активность с хостов включает в себя информацию о каждом запущенном процессе, созданном или измененном файле, записи в реестре, сетевой активности, манипуляций с пользователями и т.п. Это дает два важных преимущества:

  • позволяет разгрузить SIEM-системы от анализа ненужных им событий, а в SIEM передавать уже обработанные результаты в виде готовых алертов;

  • дает возможность развивать навыки ресерча, охотиться за угрозами (Threat Hunting) и исследовать любые инциденты гораздо быстрее.

Тема с проведением исследований и охоты за угрозами достойна написания отдельного блога, и вероятнее всего она увлечет вас с головой. Но даже если мы подойдем к системе безопасности, построенной на MXDR, более прагматично, вы увидите, что единая консоль поиска по большим данным является незаменимым инструментом в руках любого ИТ и ИБ-специалиста. Аналитик может создавать поисковые запросы, сохранять их и запускать по расписанию, чтобы проверять, как меняется ситуация. Таким образом, он может настроить очень гибкую логику обнаружения угроз и проверки своих гипотез.

Но чтобы вы не исследовали, рук аналитиков и соответствующего инструментария всегда нужно больше, чем есть под рукой. Но мы хотим, чтобы возможности вашей команды по безопасности для развития навыков анализа, хантинга и ресерча были безграничными, поэтому в наш XDR встроены два сложных инженерных инструмента, часть технологий которых запатентована — это упоминавшаяся здесь "взрывоопасная" платформа для исследования вредоносных файлов Group-IB Malware Detonation Platform и инструмент графического анализа Group-IB Graph.

Malware Detonation Platform

Malware Detonation Platform незаменима, когда нужно проанализировать подозрительный файл или ссылку. При этом аналитик может получить удаленный доступ внутрь виртуальной машины для управления процессом анализа и тд. Можно менять настройки образа виртуальной машины, указать, из какой страны будет выходить сетевой трафик. Основная цель — выполнить вредоносный код, и извлечь максимум индикаторов компрометации, чтобы мгновенно понять, какие действия выполняет вредоносная программа. А все извлеченные индикаторы автоматически будут использоваться для обнаружения угроз, а затем для атрибуции, опираясь на данные Threat Intelligence.

Group-IB Graph

Во-первых, это красиво. Сложная инженерная разработка графически и технологически совершенна в построении сотен и тысяч связей между тем, что у вас есть и тем, что вы хотите найти. Во-вторых, граф является важным инструментом Threat Intelligence, который наглядно визуализирует данные о сетевой инфраструктуре за пределами периметра организации. Каждый аналитик, исследуя угрозы, связанные с IP адресом или доменом, прибегает к сторонним инструментам, чтобы проверить вредоносный ли это хост. Как правило, в стандартный набор аналитика входят сервисы, которые дают информацию об истории открытых портов, запущенных сервисах, истории доменов, связанных с IP-адресом или регистрационными данными доменов, например, по email из Whois. Мы видели попытки добавить эти данные в SIEM-системы, но из-за ограниченности интерфейса использование этих данных внутри SIEM помогает анализировать угрозы, но делает этот процесс очень сложным.

В Group-IB XDR все намного интереснее. Есть два основных преимущества:

  1. Граф автоматически по одному IP или домену определяет все релевантные связи и в один клик — за секунды — восстанавливает, как выглядит связанная инфраструктура. Таким образом, аналитик экономит часы и не тратит время на попытки обогатить индикаторы и получить контекст по каждому из них.

  2. Мы предоставляем в едином окне весь необходимый контекст: открытые порты, сервисы, распознанный софт, уязвимости, исторические регистрационные данные доменов, Passive DNS, вредоносные файлы, атрибуция до семейств вредоносных программ, псевдонимов хакеров, упоминания на хакерских форумах.

Важно отметить, что весь контекст из пункта 2 демонстрируется сразу для всей инфраструктуры, поэтому процесс анализа занимает меньше времени. Таким образом, этот инструмент становится незаменимым при использовании NTA.

Prevention and Response

Все, что мы описали выше, относится к обнаружению и анализу угроз. Они должны быть остановлены до того, как инцидент наступит, поэтому специалистам по безопасности нужно еще и возможности предотвращения и реагирования.

Анализируя почтовый трафик с помощью одного из компонентов MXDR, мы блокируем письма которые содержат фишинг, вредоносные ссылки или вложения. И, конечно, за счет совместной работы каждого модуля системы и обогащения между ними, в блокировку автоматически добавляются все вредоносные объекты обнаруженные, например, с помощью EDR, MDP или по индикаторам Threat Intelligence.

Дополняя локальный антивирус, если он есть, наш EDR на хостах блокирует запуск вредоносных файлов или процессов связанных с ними, и тут также все работает в связке с системой анализа почты, MDR и Threat Intelligence. Кроме этого, можно управлять списками разрешенных приложений (Application White Listing), для создания безопасного окружения, что часто необходимо на критичных узлах, например, SCADA-системах или банкоматах.

Однако самое интересное — это возможности реагирования на инцидент в автоматическом или, если потребуется, в ручном режиме. Автоматическое реагирование, например, такое как отправка файлов в карантин или в Sandbox, извлечение индикаторов, их распространение до каждого модуля, добавление в списки блокировок, мы описывали в сценариях выше. Но есть дополнительные возможности, которые с помощью MXDR специалист может запустить самостоятельно:

  • принудительное завершение процесса на любом хосте, где установлен EDR;

  • консоль удаленного реагирования, позволяющая выполнить команды для немедленного реагирования и ликвидации последствий.

  • сбор криминалистически важных данных с хоста для последующего анализа в оффлайн-режиме; это действие выполняется буквально в пару кликов — получить дамп памяти, прошивки BIOS/UEFI, список активных процессов, сетевых изменений, значимых ключей реестра и т.п.

  • изоляция хоста от сети, чтобы атакующий лишился доступа к вредоносным программам, например, "черви" не могли распространяться дальше по сети.

Оптимизация алертов и расширенная аналитика

Одна из основных проблем большинства служб информационной безопасности — это большое количество алертов, которые надо проверять. Чем больше систем безопасности внедрено, чем больше правил детектирования угроз добавляется, тем эта проблема (больше алертов и больше ложных сработок) приобретает все более пугающие масштабы.

Мы, в Group-IB, реагируя на инциденты в самых разных компаниях — от Enterprise до SMB — видим, что чаще всего какие-то из систем безопасности "поднимали тревогу" еще до возникновения инцидента, но они либо терялись в общей массе алертов, либо им не придавали значения из-за отсутствия контекста, дающего понимание, что именно это за угроза и насколько она опасна. Одна из важных проблем, которую решает MXDR — это оптимизация количества алертов и мгновенное предоставление нужных деталей. Есть несколько основных пунктов, за счет которых достигается такой результат:

  • Алерты от разных систем безопасности теперь не рассматриваются как отдельно взятые события. Если угроза была обнаружена несколькими средствами защиты, например, с помощью EDR, NTA, MDP или по индикаторам Threat Intelligence, то все события группируются в один алерт. И даже если система NTA будет поднимать 100 алертов в день, они все равно группируются в один алерт. Таким образом аналитикам нужно анализировать значительно меньше событий, а значит они смогут среагировать на опасность быстрее.

  • После группировки происходит автоматическая корреляция событий. Результаты этого анализа представляются в виде наглядного графа из которого понятна хронология событий и какие объекты (файлы, процессы, сетевой трафик) вовлечены в этот процесс. Это значительно упрощает и ускоряет анализ, а также улучшает оперативность и качество принятия решений.

  • Каким бы наглядным не был сетевой граф, как бы хорошо не была построена корреляция, каждый триггер должен быть подкреплен доказательством. Поэтому так важна интерактивность системы, чтобы при выборе процесса, файла, сетевого индикатора немедленно показывались все необходимые детали. В MXDR весь контекст мы показываем в окне справа, где каждый элемент связан между собой и у аналитика есть возможность разобрать все детали без необходимости анализа сырых логов (хотя и такая возможность остается благодаря Security Data Lake, о котором мы писали выше).

Мы провели исследование, где сравнивали скорость анализа инцидента по логам и с использование нашего XDR. Результат показал, что Group-IB XDR дает возможность проводить расследования в десятки раз быстрее. И мы будем рады, если вы убедитесь в этом сами, например, запросив наше демо.

Инвентаризация

Через XDR проходят события с хостов, трафика, почты, что является важной возможностью для инвентаризации того, что есть в сети. Это важная часть процесса обеспечения безопасности любой организации. И здесь MXDR дает сразу несколько уникальных преимуществ:

  • Информация об устройствах и приложениях приходит не из одного источника (только только с хостов или только с трафика), а из обоих. Это дает лучшую видимость вредоносной активности в сети.

  • Благодаря корреляции, по каждому активу можно получить сразу всю информацию. Например, по хосту сразу видно, какие приложения установлены, кто и когда логинился, какие алерты были в прошлом или анализируются прямо сейчас.

Интеграции

Ни одно решение по безопасности не может быть изолировано от других, поэтому никогда не стоит недооценивать возможности интеграции с "соседними" решениями. Для этого мы используем два подхода.

Во-первых, стандартный подход — обычные интеграционные интерфейсы: Rest API, Syslog, CEF, ICAP. Есть стандартные интеграции с популярными SIEM-системами, так и возможность их кастомизации.

Во-вторых, более изящный способ, когда мы устанавливаем свои EDR, NTA, MDP как дополнение к существующим решениям, и, таким образом, получая лучший контроль за результатами их работы, без сложных интеграций и "танцев с бубном" при управлении ими. Важно, что мы разгружаем SIEM-системы и даем возможность отправлять в них только уже важные данные, связанные с алертами.


Вот мы и добрались до финала. Спасибо, что были с нами и прошли это стремительное погружение в сложные инженерные технологии Group-IB. В заключение хотелось бы подчеркнуть важную мысль: развивая свои продукты для анализа и предотвращения кибератак, мы хотим дать специалистам по кибербезопасности больше, чем хорошую защиту. Мы убеждены, что специалисты Threat Intelligence, Threat Hunter, криминалисты из DFIR или аналитики CERT — это бойцы с передней линии фронта, которым необходимо супероружие для противостояния тем, кто атакует их компании. Это не магия и не волшебные артефакты. Это технологии, которые позволяют эффективно бороться с киберпреступностью и предотвращать кибератаки еще на этапе их подготовки. Инженеры Group-IB долго работали над тем, чтобы решение Managed XDR стал таким супероружием, и вовремя оказалось в надежных руках. Быть может, именно в ваших. Оценивайте демо, изучайте и исследуйте киберугрозы вместе с нами!

Вместо резюме

Резюмируя идею, заложенную в этот блог, кратко опишем главные выводы.

  • Система безопасности хороша тогда, когда она работает как единое целое, а не как набор разрозненных компонентов, интегрированных через ряд промежуточных систем.

  • Система безопасности должна быть многоуровневой и не требующей сложных интеграций. Самый простой способ это сделать — использовать комплиментарные решения, которые обнаруживают угрозы собственными технологиями и видят то, что детектируют компоненты от других вендоров, например, AV, EDR и т.п. Главное, чтобы за многоуровневую защиту не нужно было платить несколько раз.

  • Внедрение XDR должно не нагружать SIEM системы, а наоборот разгружать их повышая эффективность всех системы безопасности.

  • В Group-IB Managed XDR уже встроены все необходимые плейбуки, позволяющие решению автоматизировать взаимодействие между разными компонентами, коррелировать события, автоматизировать процесс реагирования и расследования киберинцидента.

  • Group-IB Managed XDR уже включает аналитические инструменты для поиска по внутренним событиям используя Security Data Lake, а также уникальное решение Malware Detonation Platform с функциями глубокого исследования и ручного управления анализом, а также инструментами анализа внешней телеметрии по данным Threat Intelligence и графа о внешних сетевых узлах.

  • В-третьих, это возможность протестировать свою инфраструктуру на факт компрометации. Каждый бюллетень безопасности из Threat Intelligence с индикаторами компрометации проверяется автоматически. Но если клиенту нужно убедиться, что инфраструктура точно не затронута этой угрозой, достаточно нажать одну кнопку, чтобы был запущен поиск по всем архивным данным.

Комментарии (0)