Рішення допомагає виявляти аномальні мережеві взаємодії, ознаки компрометації, приховану активність, командно-контрольні з’єднання та інші події безпеки.
Рішення забезпечує глибоку видимість комунікацій мережі між вузлами, сегментами інфраструктури та зовнішніми ресурсами. Це дозволяє виявляти загрози та підозрілу активність, які можуть залишатися поза зоною контролю класичних засобів захисту периметра, IDS/IPS, антивірусних рішень або інструментів, орієнтованих лише на кінцеві пристрої.
Guardsix NDR використовує спеціалізовані сенсори для пасивного аналізу копії трафіку мережі із ключових сегментів інфраструктури. У складі єдиної платформи Guardsix рішення доповнює SIEM, SOAR та телеметрію кінцевих пристроїв, що дозволяє корелювати події мережі з іншими даними безпеки, прискорювати розслідування інцидентів та запускати сценарії реагування.
Можливості Guardsix NDR забезпечують видимість активності мережі та дозволяють:
- Пасивно відстежувати мережевий трафік у критично важливих сегментах інфраструктури без втручання у роботу виробничих систем;
- Виявляти аномальну поведінку, латеральне переміщення, командно-контрольні з’єднання та інші підозрілі мережеві патерни з використанням поведінкової аналітики та машинного навчання;
- Виявляти індикатори компрометації, приховану активність та ознаки атак, які можуть залишатися непомітними для IDS/IPS, антивірусних рішень або засобів захисту кінцевих пристроїв;
- Аналізувати протоколи прикладного та транспортного рівнів, включаючи HTTP, DNS, SMB, TLS, SSH, а також метадані зашифрованого трафіку;
- Відображати взаємозв’язки між активами та моделі мережевих комунікацій для підтримки розслідувань, сегментаційного аналізу та пошуку загроз;
- Зіставляти мережеві виявлення з даними Guardsix SIEM і запускати автоматизовані дії через Guardsix SOAR, включаючи ізоляцію хостів, блокування IP-адрес, створення тикетів та повідомлення аналітиків.
За допомогою Guardsix NDR організації можуть:
- Підвищити ситуаційну поінформованість про мережеву активність у критично важливих сегментах інфраструктури;
- Виявляти ризики, приховані канали зв’язку та потенційні шляхи розвитку атаки, що залишаються поза зоною видимості класичних засобів захисту;
- Прискорити розслідування інцидентів за рахунок контексту щодо активів, мережевих взаємодій та порушених систем;
- Скоротити час від виявлення до реагування рахунок інтеграції з кореляцією SIEM і автоматизацією SOAR;
- Посилити моніторинг гібридних, розподілених та чутливих середовищ без зміни існуючої мережевої архітектури.
Основні можливості
- Аналіз трафіку за допомогою фізичних або віртуальних сенсорів забезпечує постійну видимість вибраних сегментів мережі, включаючи центри обробки даних, периметр, магістральну інфраструктуру та внутрішні VLAN-сегменти.
- Формування поведінкових базових профілів допомагає виявляти відхилення від нормальної мережевої активності, включаючи нетипові схеми взаємодії, нестандартне використання сервісів та аномальну поведінку вузлів.
- Механізми виявлення загроз мережі фіксують підозрілі сполуки, розвідувальну активність, ознаки латерального переміщення, потенційно скомпрометовані ресурси та взаємодію з командно-контрольною інфраструктурою.
- Протокольний аналіз дозволяє досліджувати обмін даними за поширеними корпоративними протоколами, включаючи DNS, HTTP, SMB, TLS, SSH, а також використовувати відповідні метадані трафіку для розслідувань.
- Аналіз зашифрованого трафіку виконується без розшифрування корисного навантаження за рахунок параметрів TLS-з’єднань та методів цифрового відбитка, що допомагає виявляти підозрілі зашифровані сеанси при збереженні конфіденційності даних.
- Аналіз взаємозв’язків між активами допомагає відображати комунікаційні залежності, виявляти незвичайні взаємодії між системами та швидше визначати порушені ресурси.
- Підтримка SPAN, port mirroring, TAP, PCAP, NetFlow та sFlow дозволяє адаптувати збір мережевих даних під різні мережеві архітектури та моделі розгортання.
- Централізовані панелі моніторингу та аналітичні уявлення допомагають командам SOC перевіряти спрацювання, аналізувати активність мережі та проводити розслідування у контексті інфраструктури.
- Інтеграція з Guardsix SIEM та Guardsix SOAR розширює виявлення NDR за рахунок кореляції з журналами подій, збагачення інцидентів, автоматизованих дій реагування та централізованого керування кейсами.
Guardsix – уніфікована платформа для управління кібербезпекою, що поєднує можливості SIEM, SOAR, NDR та телеметрії кінцевих пристроїв. Завдяки глибокій інтеграції даних, розширеній аналітиці та автоматизації реагування платформа допомагає організаціям виявляти, розслідувати та усувати кіберзагрози в гібридних інфраструктурах з єдиного контуру безпеки.
