7 най-добри инструмента за лов на заплахи за 2022 г
Терминът „ лов на заплахи ” означава търсене чрез ИТ система за злонамерени дейности. Тези дейности може да се случват в момента или може вече да са се случили
Системите за лов на заплахи рядко се продават като самостоятелни пакети. Вместо това, това е техника, която се използва като част от услуга за киберсигурност .
Ето нашия списък със седемте най-добри инструмента за лов на заплахи:
- SolarWinds Security Event Manager ИЗБОР НА РЕДАКТОРА Един от най-конкурентните SIEM инструменти на пазара с широк набор от функции за управление на журнали. Вземете 30-дневен безплатен пробен период.
- VMWare Carbon Black Endpoint EDR, който е базиран в облака, но включва колектори на данни, инсталирани на наблюдавани устройства.
- CrowdStrike Falcon Overwatch Пълен оперативен център за сигурност, предоставен на база абонамент, който включва SaaS EDR система, наречена Falcon Insight, плюс техници, които да изпълняват софтуера и анализа на сигурността за ръчно откриване на заплахи.
- Управляван XDR на Trend Micro Абонаментна услуга, която предлага както софтуерно базирано, така и човешко търсене на заплахи, което ще приложи автоматични отговори за спиране на атаки.
- Cynet 360 Иновативна система за киберзащита, базирана на облака, която отклонява нарушителите от ценни активи чрез модул за измама, който също така излага злонамерената дейност на проверка и анализ.
- Exabeam Fusion Предлагани във формати SIEM и XDR, и двете опции използват едни и същи процедури за лов на заплахи. Това е облачна платформа.
- Rapid7 InsightIDR SIEM и XDR услуга, която може да се добави към други услуги от същата облачна платформа, като например емисия за разузнаване на заплахи.
Ловецът на заплахи е инструментът за търсене, който претърсва данните за дейността, търсейки признаци на нежелано поведение.
Типовете системи, които имат вградено търсене на заплахи, са:
- Антивирус (ИЗКЛ.)
- Откриване и реакция на крайна точка (EDR)
- Разширено откриване и реакция (XDR)
- Информация за сигурността и управление на събития (SIEM)
- Системи за откриване на проникване (IDS)
- Системи за предотвратяване на проникване (IPS)
- Разузнаване за кибер заплахи (CTI)
Ще забележите, че защитните стени не са включени в списъка. Въпреки че защитните стени сканират трафика, техните дейности обикновено не се класифицират като лов на заплахи. Защитната стена филтрира трафика.
Стратегии за лов на заплахи
Системите за лов на заплахи преглеждат системните данни за индикатори за атака или необичайно поведение. Източникът на тези данни обикновено са заснети данни за производителността и съобщения в регистрационния файл. Търсенето на заплахи може да се извърши на устройство, но е по-ефективно, ако всички данни за дейността от всички устройства в мрежата са партии на едно централно място. Това позволява на ловеца на заплахи да търси злонамерени дейности, които пътуват между устройствата, така че системата за киберсигурност да може да забележи и блокира разпространяваща се атака.
Заплахите могат да бъдат реализирани под формата на софтуер или ръчна дейност от физическо лице. В почти всички случаи злонамерената дейност ще се извършва в рамките на оторизиран потребителски акаунт.
Ако външен човек използва валиден акаунт, това ще се дължи на поемане на акаунт . Това може да се случи поради слаба сигурност под формата на пароли, които могат да се разбият. Хакерите могат също да получат идентификационни данни за акаунт, като подмамят потребителите да разкрият информация.
Ако злонамереният участник е член на персонала, съответният потребител може да е бил измамен или заплашен да действа от името на външен човек. А недоволен служител може да искате да навредите на бизнеса чрез кражба или разкриване на чувствителни данни или продажба на данни за финансова печалба.
Въпреки че софтуерът обикновено участва в злонамерено събитие, това не винаги е злонамерен софтуер или неоторизирани системи, инсталирани от хакер. The разрешени приложения които сте инсталирали за използване от служители на компанията, могат да обработват и преместват данни и могат да обслужват злонамерени вътрешни лица и натрапници.
Автоматизирано и ръчно търсене на заплахи
Процесите за лов на заплахи са вградени в софтуера за киберсигурност. Ловът на заплахи обаче може да бъде човешка дейност както добре. Преглед на данни със средства за търсене и сортиране позволява на специалист по киберсигурност да анализира данни и да прави запитвания за възможна злоупотреба с данни.
Въпреки че системният мениджър може да забележи нещо странно в дейността на потребителския акаунт и да иска да проучи по-нататък, ловът на заплахи обикновено е дейност, извършвана от специализирани професионалисти. Не много фирми са достатъчно големи, за да могат да си позволят да поддържат квалифициран специалист по киберсигурност на персонала, така че е по-вероятно тези експерти да бъдат срещнати, работещи за консултанти и да се включат в данните на компания клиент, когато бъдат повикани, за да сортират спешен случай .
Бизнесът може да създаде текущ договор за консултантски услуги, като се регистрира за a управляван пакет за сигурност , което включва както софтуера за защита, така и услугите на експерти по киберсигурност за анализ на данни в случай на аномалии, които софтуерът не може да категоризира.
Най-добрите инструменти за лов на заплахи
Областта на лов на заплахи предлага набор от конфигурации и те обхващат локални софтуерни пакети, SaaS платформи и управлявани услуги. Когато търсите добри примери за системи за лов на заплахи за да препоръчаме, трябва да сме наясно, че различните размери и видове бизнес ще имат различни нужди. Следователно е невъзможно да се препоръча един единствен пакет, който може лесно да бъде идентифициран като най-добрата налична опция.
Какво трябва да търсите в инструмента за лов на заплахи?
Проучихме пазара на системи за киберсигурност, които включват процеси за лов на заплахи и анализирахме наличните опции въз основа на следните критерии:
- Услуга за събиране на данни за подаване на информация за събития в ловеца на заплахи
- Агрегиране на данни за стандартизиране на формата на записите на събития
- Опции за ръчен анализ
- Настройки за автоматичен отговор
- Правителство за откриване на заплахи чрез политика за сигурност
- Безплатна пробна версия или демо система за оценка на системата преди плащане
- Съотношение цена/качество, осигурено от цялостна защита на сигурността на подходяща цена
Имайки предвид тези критерии, ние идентифицирахме надеждни инструменти за киберсигурност, които включват отлични процедури за лов на заплахи. Погрижихме се да включим опции за локални, SaaS и управлявани услуги.
1. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
SolarWinds Security Event Manager е най-добрият вариант за тези системни мениджъри, които искат да запазят всичко вътрешно. Пакетът работи на вашия сървър и изследва всички други крайни точки в мрежата. Тази система работи с данни за производителността на мрежата на живо, извлечени от източници, като например Прост протокол за управление на мрежата (SNMP), както и съобщения в журнала.
Основни функции:
- Колектори на лог файлове
- Локално
- Мениджър на чувствителни данни
- Одит на съответствието
- Търсене на заплахи въз основа на сигнатури
Пакетът включва конектори този интерфейс към приложенията и извличане на данни за събития. Системата включва и a монитор за целостта на файла който записва достъпа до файловете и направените промени в тяхното съдържание. Това е мениджър на чувствителни данни който контролира номинираните файлове и папки.
След това отчетите за производителността и съобщенията в журнала се преобразуват в общ формат, който се нарича „ консолидация ”. Инструментът представя тези записи на модула за лов на заплахи за анализ.
Злонамерените дейности, които ловец на заплахи открива може да бъде спряно незабавно. Този ловец на заплахи е услуга, базирана на сигнатури, която търси индикатори за атака. Системата включва списък с отговори, които се извикват корелационни правила . Те определят действие, което да се предприеме, ако бъде открита заплаха. Тези действия могат да бъдат блокиране на трафик от и към конкретен IP адрес, спиране на потребителски акаунт, спиране на процес и изтриване на файл.
Професионалисти:
- Действа като SIEM
- Управлява лог файлове
- Внедрява автоматизирани отговори
- Сигнали за подозрителна дейност
- Използва живи мрежови данни, както и регистрационни файлове
Минуси:
- Няма облачна версия
SolarWinds Security Event Manager се инсталира на Windows сървър и е наличен за30-дневен безплатен пробен период.
ИЗБОР НА РЕДАКТОРИТЕ
SolarWinds Security Event Managerе нашият най-добър избор за пакет за лов на заплахи, защото ви позволява да поддържате пълен контрол върху вашите ИТ услуги. Много мениджъри на ИТ системи все още не се чувстват комфортно с преобладаването на системи, базирани на облак, тъй като тази стратегия намалява контрола, предоставя допълнителни пътища за влизане на нарушители и изисква някои подробности за бизнеса да се съхраняват на външен сървър.
Изтегли:Вземете 30-дневен безплатен пробен период
Официален сайт:https://www.solarwinds.com/security-event-manager/registration
ВИЕ:Windows сървър
2. VMWare Carbon Black Endpoint
Крайна точка на VMware Carbon Black защитава множество крайни точки. Всяка регистрирана крайна точка има инсталиран агент и това устройство комуникира с базирания на облак процесор за данни Carbon Black.
Основни функции:
- Информация за разузнаване на заплахи
- Откриване на аномалия
- ИЗВЪРШВАНЕ
- Бърз лов на заплахи
Мрежовият агент също комуникира с инструменти за сигурност на трети страни като част от техника, която се нарича оркестрация на сигурността, автоматизация и реакция (SOAR). Системата SOAR събира информация от инструменти за сигурност на трети страни, като защитни стени, и я добавя към пула от информация, която се събира в облака.
The лов на заплахи модул в пакета Carbon Black се нарича Предсказуема облачна сигурност , който се отличава със способността си да търси много бързо в големи колекции от данни. Откриването на заплаха задейства инструкции за отговор които се изпращат до агентите на устройството, а също и до инструментите на трети страни, които са регистрирани в системата SOAR.
Професионалисти:
- Взаимен обмен на заплахи между клиенти
- Съвети за втвърдяване на системата
- Автоматизирани отговори
- Защитете множество сайтове
Минуси:
- Не включва мениджър на регистрационни файлове
The SaaS пакет прилага лов на заплахи за всеки клиент и след това обединява всички открити данни за централно търсене за всички клиенти. Този централен лов на заплахи осигурява разузнаване на заплахи за хакерски кампании и предупреждава клиентите преди атаката. Можете да поискате демо на системата VMWare Carbon Black Endpoint.
3. CrowdStrike Falcon Overwatch
CrowdStrike Falcon е облачна платформа от инструменти за сигурност, които включват EDR, наречена Прозрение , и ан XDR . EDR се координира със системите на CrowdStrike на устройството, а XDR добавя към SOAR.
Основни функции:
- Базиран на аномалия
- Лов на местни заплахи
- Консолидиран лов на заплахи, базиран на облак
Единственият продукт на CrowdStrike, който работи на крайни точки, е антивирусен пакет от следващо поколение, наречен Falcon Prevent . Това изпълнява своето лов на заплахи и прилага защитни реакции. Ако купувачът на Falcon Prevent също се е абонирал за една от базираните на облак системи, AV действа като агент към него.
Както Falcon Insight, така и Falcon XDR работят лов на заплахи в облака в пула от данни, качени от всички крайни точки, включени в плана. Този процес на лов на заплахи може да бъде подобрен с емисия за разузнаване на заплахи, наречена Falcon Intelligence .
Бизнес, който не иска да има експерт по сигурността в персонала, би пропуснал ползата от ръчно търсене на заплахи и експертен анализ на сигурността. CrowdStrike се грижи за тази нужда с Overwatch пакет. Това е пълен оперативен център за сигурност, който осигурява откриване на заплахи в цялата система и управление на реакцията за абонирани клиенти. Това е пакетът Falcon XDR SaaS с добавени анализатори за сигурност.
Професионалисти:
- Възможност за управлявана услуга
- Информация за разузнаване на заплахи
- ИЗВЪРШВАНЕ
Минуси:
- Оценката на много опции може да отнеме време
Планът на Overwatch включва инсталиране на Falcon Prevent на всяка крайна точка. Можеш да получиш 15-дневен безплатен пробен период на CrowdStrike Falcon Prevent.
4. Управляван XDR на Trend Micro
Управляван XDR на Trend Micro е SOC-for-hire план, който добавя услугите на специалисти по сигурността към Trend Micro Vision One пакет за сигурност на системата. Vision One е SaaS XDR с агенти на устройството и SOAR, достигайки до инструменти за сигурност на трети страни.
Основни функции:
- Многостепенно търсене на заплахи
- Анализатори по сигурността
- ИЗВЪРШВАНЕ
Услугата Vision One е облачен координатор на резидентни AV на Trend Micro крайни точки, които извършват свое собствено локално преследване на заплахи. Тези устройства качват данни за дейността на сървъра на Trend Micro за лов на заплахи в цялото предприятие . Извиква се системата за откриване на заплахи Trend Micro Прозрения за риска с нулево доверие . Той търси необичаен достъп до приложения, като идентифицира вътрешни заплахи и проникване.
Управляваната услуга включва автоматизирани системи и експертни анализатори. Ръчен лов на заплахи намалява неудобствата от блокиране на редки законни задачи от автоматизирани EDR процеси. Анализът може също така да даде препоръки за укрепване на системата.
Професионалисти:
- Подходящо за фирми, които нямат експерти по сигурността на заплата
- Може да управлява сигурността за множество сайтове
- Отчитане на съответствието
Минуси:
- По-скъпи от опциите за самостоятелно управление
Можете да получите достъп до демо система, която се нарича Vision One Test Drive .
5. Платформа Cynet 360 AutoXDR
Платформа Cynet 360 AutoXDR включва слой за лов на заплахи, който събира информация за злонамерена дейност от инструменти на място на трети страни. Тази платформа е резидент в облака и предоставя няколко помощни програми, за да помогне на автоматизираните системи на място да открият заплахи.
Основни функции:
- Базиран на облак
- Местни колектори на данни
- Техники за измама
Услугите за идентифициране на заплахи на Cynet 360 включват пясъчник и а гърне за мед система, която предоставя фалшив тийзър на хакерите, привличайки ги към отдел за анализ.
Както и структурата на собствената си изследователска лаборатория, the Автономна защита от пробив системата в Cynet 360 събира локална информация чрез агенти в мрежа, наречена Сливане на сензори . Разгръща се процесът на лов на заплахи анализ на поведението на потребителите и субектите (UEBA), за да оцени намерението на редовния бизнес трафик около мрежата и да блокира злонамерена дейност чрез SOAR.
Професионалисти:
- Базирано на аномалии търсене на заплахи с UEBA за базова линия
- ИЗВЪРШВАНЕ
- Криминалистика на паметта
Минуси:
- Няма мениджър на регистрационни файлове
Cynet предлага 14-дневен безплатен пробен период на платформата AutoXDR.
6. Exabeam Fusion
Exabeam Fusion е облачна платформа с агенти на място, която внедрява откриване на заплахи, разследване и реакция (TDIR). Пакетът може да работи като XDR или SIEM. Инструментът черпи изходни данни от своите агенти на място, за да ги подаде в откриване на заплаха модул, който работи в облака.
Основни функции:
- Лов на заплахи, базиран на аномалии
- УЕБА
- Отчитане на съответствието
Услугата за лов на заплахи Exabeam Fusion използва откриване на аномалии, върху което се основава УЕБА за базова линия на дейността. Услугата може да бъде съобразена със специфични изисквания на стандартите за защита на данните и след това автоматично ще генерира отчет за съответствие.
Системата разчита на информация за регистрационния файл за изходни данни и може да взаимодейства директно със списък от софтуерни пакети чрез библиотека от конектори . Услугата също така ще консолидира и съхранява регистрационни файлове за ръчен анализ на лов на заплахи и одит на съответствие.
Професионалисти:
- Събира данни за дейността от приложения
- Проверява лог файлове от операционни системи
- Управление на регистрационни файлове
Минуси:
- Крайните точки не са защитени, ако са прекъснати от мрежата
Можете да оцените Exabeam Fusion с демо .
7. Rapid7 InsightIDR
Rapid7 е облачна платформа от модули за киберсигурност. Вие избирате кои услуги искате от менюто с опции и тези пакети се събират заедно. Облачната система се нарича Rapid7 Insight и пакетът XDR на тази платформа се извиква InsightIDR – IDR означава „ откриване на инциденти и реакция ” и може да се използва и като SIEM от следващо поколение.
Основни функции:
- SIEM
- Разузнаване на заплахите
- Както аномалия, така и базирано на подпис
Услугата InsightIDR изисква агентите да бъдат инсталирани на защитени крайни точки. Качените регистрационни файлове, които се събират от тези агенти, предоставят изходния материал за SIEM търсене и те също ще се съхраняват в лог файлове за ръчно търсене на заплахи и одит на съответствие.
Rapid7 предоставя информация за разузнаване на заплахи в услугата за лов на заплахи, която се нарича Анализ на поведението при атака (ABA) модул. Тази система ABA е базирана на сигнатура, но тя взаимодейства с базирани на аномалии търсения на UEBA, за да осигури смесена стратегия за лов на заплахи.
Професионалисти:
- Бързо търсене на заплахи, благодарение на сортирането, информирано от разузнаването на заплахи
- Използва UEBA
- Автоматизирани отговори
Минуси:
- SOAR струва допълнително
Друг пакет, наличен в платформата Insight, е Insight Connect , който разширява възможностите на InsightIDR чрез добавяне ИЗВЪРШВАНЕ конектори.
Можете да оцените Rapid7 InsightIDR с 30-дневен безплатен пробен период .