Automatisierte Detektierung basierend auf Threat Intelligence
Führen Sie eine kontinuierliche Erkennung von Threats in Ihrem Netzwerk durch, indem Sie die Detektierung von Threat Intelligence in Ihren Logs umfassend automatisieren.
Bedrohungen schneller finden
Anomali Match nutzt alle verfügbare Threat Intelligence und Logs, um eine umfassende Bedrohungserkennung in Sekundenbruchteilen zu ermöglichen. Sie profitieren von der Geschwindigkeit der Erkennung, geringeren Kosten durch schädigende Vorfälle und effizienteren Sicherheitsbetrieb.
Erkennen Sie alle Bedrohungen in Ihrer Umgebung
Nutzen Sie alle verfügbaren Daten für die Bedrohungserkennung
Match nutzt die Gesamtheit Ihrer aktiven Threat Intelligence und korreliert diese mit sämtlichen Logevents, um schädliche Aktivitäten in Ihrem Netzwerk kontinuierlich zu erkennen.
Erkennen Sie neu identifizierte Bedrohungen, die Ihr Netzwerk infiltriert haben
Match analysiert kontinuierlich historische Logdaten mit aktueller Threat Intelligence, um noch nicht erkannte Kompromittierungen in der Vergangenheit aufzudecken.
Priorisieren Sie Ihre Gegenmaßnahmen in Abhängigkeit von dem Wert der Assets und dem Risiko
Match bewertet erkannte Bedrohungen basierend auf Assetwert, Schwachstellen sowie Schweregrad des Threats und ermöglicht so eine risikoorientierte Priorisierung von Triage- und Gegenmaßnahmen.
Automatisieren der Threat-Erkennung mithilfe aller verfügbaren Logevents und Threat Intelligence
SIEM- und Logmanagement-Lösungen unterliegen Beschränkungen im Hinblick auf die Masse an IOCs und Logs, die sie speichern und durchsuchen können. Das macht es schwierig, alle potenziellen Bedrohungen in der Gesamtheit zu identifizieren, die ein Unternehmen ausgesetzt sein könnte.
Match wurde speziell entwickelt, um bekannte Bedrohungen mit großer Skalibilität zu erkennen. Dabei werden Big-Data-Analysen und Machine Learning verwendet, um ständig riesige Mengen an Logdaten mit mit Ihrer gesamten Threat Intelligence zu korrelieren.
- Ständige Korrelierung von Millionen IOCs mit Milliarden von Logevents
- Identifizierung von Übereinstimmungen mit Bedrohungsindikatoren, TTP, Akteuren, Sicherheitslücken oder Bedrohungsanalysen in den Ereignisprotokollen
- Automatische Meldung an Ihre SIEM-, SOAR- oder Ticketing-Systeme
Antwort auf die schwierige Frage: „Sind wir betroffen?“
Wenn eine neue Bedrohung im Umlauf entdeckt wird, kann die Untersuchung historischer Logs auf mögliche Kompromittierungen ein langer und teurer Prozess sein.
Match informiert Sie in Sekunden, ob in Ihren historischen Logdaten aus vergangenen Monaten oder sogar Jahren ein Threatindikator vorhanden war.
- Durchsuchen historischer Logdaten, die fünf Jahre oder mehr zurückreichen
- Suche nach Bedrohungsindikatoren, TTPs, Akteuren, Schwachstellen oder Threat Bulletins
- Ausgabe aller gefundenen Übereinstimmungen innerhalb weniger Sekunden
- Bereitstellen dieser Übereinstimmungen für Ihr SIEM-, Ticketing- oder SOAR-System
Priorisieren der Reaktion in Abhängigkeit vom Asset-Wert, Schwachstellen und Schweregrad der Bedrohung
Wenn Sie schädliche Aktivitäten in Ihrem Netzwerk erkennen, kann es eine Herausforderung sein zu entscheiden, welche Bedrohungen am wichtigsten sind und welche als erstes behandelt werden sollten.
Anomali Match integriert Daten aus Asset- und Schwachstellenscans in die Ergebnisse Ihrer Detektierung, sodass Ihre Analysten Gegenmaßnahmen auf Grundlage von Risiken priorisieren können.
- Identifizieren der wichtigsten Assets mit Anzeichen für schadhafte Aktivitäten auf einen Blick
- Priorisieren der Reaktion basierend auf Risikobewertung und Asset-Kritikalität
- Zurückverfolgung schädlicher Aktivitäten zum ursprünglichen Angriffspunkt und Überprüfen des Kompromittierungsverlaufs
Identifizieren von Bots in Ihrem Netzwerk, die eine Verbindung zu C&C-Servern herstellen
Viele Bot-Netzwerke verschleiern die Kommunikation mit ihren C&C-(Command and Control-)Servern mithilfe von Domain Generation Algorithms (DGA), um Sperrlisten mit IP-Adressen zu umgehen.
Match verwendet ein leistungsfähiges Modell für maschinelles Lernen, um schädliche Domainnamen vorherzusagen und sie in Ihren Logs zu identifizieren.
- Identifizieren von Logevents, in denen DGA-Domänen gefunden wurden
- Ermitteln der Malware-Familie, mit der die DGA-Domänen wahrscheinlich generiert wurden
- Identifizieren der Assets, die über die DGA-Domäne kommunizieren
Aufspüren von Bedrohungen nach Akteur, Threat Bulletin oder Schwachstelle
Versierte Angreifer haben gelernt, wie sie IOCs dynamisch ändern können, um eine Erkennung zu vermeiden. Ihre Taktiken, Techniken und Prozeduren (TTPs) zu ändern, ist jedoch schwieriger.
Mit Match können Ihre Sicherheitsteams Bedrohungen in Ihrer Umgebung anhand von TTPs, Akteuren, Kampagnen, Threat Bulletins und Schwachstellen identifizieren. Sobald ein Gegenspieler in Ihrem Netzwerk identifiziert wurde, können Sie die TTPs mit dem MITRE ATT&CK-Framework und Heatmaps analysieren.
- Suchen nach Eindringlingen in Ihrer Umgebung anhand von Gegenspieler-Profilen, TTPs, Bedrohungsanalysen, Kampagnen oder Schwachstellen
- Anzeigen der Suchtreffer, einschließlich Infektionszeitpunkt, Schweregrad und Ereignisquelle/-ziel
- Analysieren von Taktiken, Techniken und Prozeduren (TTPs) für einen ausgewählten Akteur in der MITRE ATT&CK-Framework-Heatmap
Finden Sie „Patient Nummer Eins“
Nach einer Malware-Infektion beschränken sich viele Unternehmen auf kurzfristige Reaktionen – sie wissen, dass sie kompromittiert wurden, und ergreifen Gegenmaßnahmen, die Infektion tritt aber immer wieder auf.
Match automatisiert die Suche nach Patient Nummer Eins, an dem Sie erkennen können, wie die Infektion begann, wer am meisten gefährdet ist und wie lange die Infektion bereits aktiv war.
- Rückverfolgen schädlicher Aktivitäten bis zum ursprünglichen Angriffspunkt
- Anzeigen von Indikatoren auf einem Zeitstrahl
- Bestimmen der Reichweite des Angriffs unter Berücksichtigung aller Hosts und Endgeräte
- Bereitstellen der Treffer für Ihr SIEM-, Ticketing- oder SOAR-System
Hypothesenbasiertes Threat Hunting
Threat Hunting bezeichnet die Suche nach Angreifern, die sich bereits im System befinden. Dabei fehlen oft die Suchwerkzeuge und Zugriffsmöglichkeiten, die zum Identifizieren schädlicher Aktivitäten benötigt werden.
Match versetzt die für Threat Hunting verantwortlichen Personen in die Lage, einen ersten Bedrohungsindikator über Pivotieren auf Assoziationen und Verlinkungen zu anderen Akteuren, Kampagnen, TTPs, Threat Bulletins und Schwachstellen zu untersuchen.
- Beginnen Sie mit einem bekannten Angreifer und dem Aufspüren zuvor unbekannter, mit ihm im Zusammenhang stehenden Angreifer
- Bestätigen eines Verdachts oder Beantworten von Anfragen, z. B. nach der Anzahl der Indikatoren, die mit einer Sicherheitslücke verbunden sind
- Visuelles Pivotieren, Erweitern sowie Untersuchen von Beziehungen und Verlinkungen für jeden Indikator
- Verfeinern von Indikatoren mit WhoIs, VirusTotal, PassiveDNS und Symantec Intelligence
Vereinbaren Sie einen Termin für eine Live-Produktdemo, um zu erfahren, wie Anomali alle relevanten Threat Intelligence dahingehend nutzen kann, um die Erkennung, Untersuchung und Abwehr von Bedrohungen zu beschleunigen.