Решение помогает выявлять аномальные сетевые взаимодействия, признаки компрометации, скрытую активность, командно-контрольные соединения и другие события безопасности.
Решение обеспечивает глубокую видимость сетевых коммуникаций между узлами, сегментами инфраструктуры и внешними ресурсами. Это позволяет обнаруживать угрозы и подозрительную активность, которые могут оставаться вне зоны контроля классических средств защиты периметра, IDS/IPS, антивирусных решений или инструментов, ориентированных только на конечные устройства.
Guardsix NDR использует специализированные сенсоры для пассивного анализа копии сетевого трафика из ключевых сегментов инфраструктуры. В составе единой платформы Guardsix решение дополняет SIEM, SOAR и телеметрию конечных устройств, позволяя коррелировать сетевые события с другими данными безопасности, ускорять расследование инцидентов и запускать сценарии реагирования.
Возможности Guardsix NDR обеспечивают видимость сетевой активности и позволяют:
- Пассивно отслеживать сетевой трафик в критически важных сегментах инфраструктуры без вмешательства в работу производственных систем;
- Выявлять аномальное поведение, латеральное перемещение, командно-контрольные соединения и другие подозрительные сетевые паттерны с использованием поведенческой аналитики и машинного обучения;
- Обнаруживать индикаторы компрометации, скрытую активность и признаки атак,которые могут оставаться незаметными для IDS/IPS, антивирусных решений или средств защиты конечных устройств;
- Анализировать протоколы прикладного и транспортного уровней, включая HTTP, DNS, SMB, TLS, SSH, а также метаданные зашифрованного трафика;
- Отображать взаимосвязи между активами и модели сетевых коммуникаций для поддержки расследований, сегментационного анализа и поиска угроз;
- Сопоставлять сетевые обнаружения с данными Guardsix SIEM и запускать автоматизированные действия через Guardsix SOAR, включая изоляцию хостов, блокировку IP-адресов, создание тикетов и уведомление аналитиков.
С помощью Guardsix NDR организации могут:
- Повысить ситуационную осведомлённость о сетевой активности в критически важных сегментах инфраструктуры;
- Выявлять риски, скрытые каналы связи и потенциальные пути развития атаки, которые остаются вне зоны видимости классических средств защиты;
- Ускорить расследование инцидентов за счёт контекста по активам, сетевым взаимодействиям и затронутым системам;
- Сократить время от обнаружения до реагирования за счёт интеграции с корреляцией SIEM и автоматизацией SOAR;
- Усилить мониторинг гибридных, распределённых и чувствительных сред без изменения существующей сетевой архитектуры.
Основные возможности
- Анализ трафика с помощью физических или виртуальных сенсоров обеспечивает постоянную видимость выбранных сегментов сети, включая центры обработки данных, периметр, магистральную инфраструктуру и внутренние VLAN-сегменты.
- Формирование поведенческих базовых профилей помогает выявлять отклонения от нормальной сетевой активности, включая нетипичные схемы взаимодействия, нестандартное использование сервисов и аномальное поведение узлов.
- Механизмы обнаружения сетевых угроз фиксируют подозрительные соединения, разведывательную активность, признаки латерального перемещения, потенциально скомпрометированные ресурсы и взаимодействие с командно-контрольной инфраструктурой.
- Протокольный анализ позволяет исследовать обмен данными по распространённым корпоративным протоколам, включая DNS, HTTP, SMB, TLS, SSH, а также использовать соответствующие метаданные трафика для расследований.
- Анализ зашифрованного трафика выполняется без расшифровки полезной нагрузки за счёт параметров TLS-соединений и методов цифрового отпечатка, что помогает выявлять подозрительные зашифрованные сеансы при сохранении конфиденциальности данных.
- Анализ взаимосвязей между активами помогает отображать коммуникационные зависимости, выявлять необычные взаимодействия между системами и быстрее определять затронутые ресурсы.
- Поддержка SPAN, port mirroring, TAP, PCAP, NetFlow и sFlow позволяет адаптировать сбор сетевых данных под разные сетевые архитектуры и модели развертывания.
- Централизованные панели мониторинга и аналитические представления помогают командам SOC проверять срабатывания, анализировать сетевую активность и проводить расследования в контексте инфраструктуры.
- Интеграция с Guardsix SIEM и Guardsix SOAR расширяет обнаружения NDR за счёт корреляции с журналами событий, обогащения инцидентов, автоматизированных действий реагирования и централизованного управления кейсами.
Guardsix — унифицированная платформа для управления кибербезопасностью, объединяющая возможности SIEM, SOAR, NDR и телеметрии конечных устройств. Благодаря глубокой интеграции данных, расширенной аналитике и автоматизации реагирования платформа помогает организациям выявлять, расследовать и устранять киберугрозы в гибридных инфраструктурах из единого контура безопасности.
