Anomali Enterprise | Erweiterung von Indikatoren und Datenanreicherung

Anomali Enterprise

Echtzeit-Forensik

Datenblatt herunterladen

Herausforderung Bedrohungserkennung

Täglich werden neue Bedrohungen aufgedeckt, die zur Liste der Millionen von unbekannten IOCs (Indicators of Compromise) hinzukommen. Hierdurch stehen Unternehmen vor zwei Herausforderungen:

  1. Der Beurteilung neuer Threats, um einen etwaigen vorhanden Vorfall zu identifizieren
  2. Die tägliche Überprüfung von Millionen von IOCs, um neu gestartete Angriffsaktivitäten frühzeitig zu erkennen

Anomali Enterprise lässt sich in SIEMs und andere Logquellen integrieren und bietet mindestens ein Jahr Sichtbarkeit auf aufgezeichnete Bedrohungen, ohne doppelte Protokolle zu erzeugen. Die historischen Daten werden kontinuierlich anhand von neuer und bestehender Threat Intelligence analysiert, um Hinweise für Vorfälle aufzudecken. Die Echtzeit-Forensik entdeckt sofort Übereinstimmungen zwischen diesen Datensätzen und bietet Analysten Tools für das Kategorisieren und Priorisieren von übereinstimmenden Indikatoren zum Zwecke der Triage und Reaktion.

Intelligente Bedrohungserkennung

Erkennung neuer Bedrohungen

Wenn neue Bedrohungen entdeckt werden, müssen die Unternehmen in Erfahrung bringen, ob die Angreifer ihre Netzwerke bereits erreicht haben. Hierfür müssen sie in der Lage sein, mindestens sechs Monate an historischen Daten zu durchforsten, um potenzielle Vorfälle zu identifizieren. Anomali Enterprise:

  • Bewertet alle eingehenden neuen Bedrohungsdaten
  • Analysiert alle Netzwerkereignisse in den letzten 12+ Monaten
  • Gibt alle Treffer über gefundene Bedrohungen innerhalb weniger Sekunden zurück
  • Leitet gefundene Treffer an SIEM oder eine andere Integration weiter

Erkennung bestehender Bedrohungen

Sicherheitsteams müssen den Netzwerkverkehr fortwährend auf Aktivitäten von bekannten Bedrohungen überwachen. Unternehmen sammeln und verfolgen im Allgemeinen Millionen von IOCs, was es schwierig macht, die gesamte Netzwerkaktivität auf Übereinstimmungen zu kontrollieren. Anomali Enterprise:

  • Sammelt und verwaltet Großmengen an IOCs
  • Gleicht IOCs mit beliebigen Logs ab
  • Warnt automatisch bei IOC-Aktivitäten im Log
  • Speist übereinstimmende Indikatoren in SIEMs und andere Systeme ein

Wesentliche Integrationen

Anomali Enterprise lässt sich in Threatanalysequellen, Logquellen, SIEMs und andere Systeme integrieren. Wenn Indikatoren von Interesse identifiziert werden, kann Anomali Enterprise Warnungen automatisch an das SIEM weitergeben, damit eine intensivere Überwachung oder Einleiten von Gegenmaßnahmen erfolgen kann.

  • Verarbeitet Bedrohungsdaten von ThreatStream
  • Analysiert Logdaten von Syslog, SIEMs, AWS S3, Netflow/sFlow
  • Ermöglicht detaillierte Untersuchungen von Bedrohungen in ThreatStream
  • Integriert Erkenntnisse über gefundende Bedrohungen mit SIEMs und Incident-Response-Systemen

DGA

DGAs (Domain Generation Algorithms) werden in Malware häufig genutzt, um Kommandos via Domainabfragen abzusetzen. Diese Domains haben häufig eine kurze Lebensdauer, was bedeutet, dass sie in Threatinformationslisten nicht mehr auftauchen. Mithilfe von raffinierten Maschinenlernalgorithmen erkennt Anomali Enterprise Verkehr von DGA-Domains sofort und alarmiert entsprechend. Außerdem werden die erkannten DGA-Domains mit speziellen Malware-Familien assoziiert.

Threat Intelligence: A New Approach

Learn more about Anomali’s approach to operationalizing threat intelligence