Le Problème de la Visibilité des Menaces
Chaque jour, de nouvelles menaces sont découvertes, s'ajoutant à la liste de millions d'Indicateurs de Compromis (IOC) connus. Cela présente deux défis aux organisations :
- Évaluation de menaces nouvellement identifiées afin de déceler toute intrusion
- Vérification de millions d’IOC tous les jours afin d’identifier de nouveaux lancements d’attaques
Anomali Enterprise s'intègre dans les SIEM ainsi que d'autres sources de journaux, en conservant une année ou plus de visibilité historique sans duplication des journaux. Les données historiques sont continuellement analysées par rapport à des renseignements sur des menaces nouvelles ou existantes, afin de déceler des preuves d’intrusions. Les analyses scientifiques en temps réel découvrent immédiatement les correspondances entre ces ensembles de données et fournit aux analystes des outils pour catégoriser et magnifier les correspondances d'indicateurs pour le triage et la réponse.
Détectez de Nouvelles Menaces
Au fur et à mesure que de nouvelles menaces sont découvertes, les organisations doivent savoir si des assaillants ont déjà ciblé leurs réseaux. Cela signifie être capable d'examiner des données historiques remontant à 6 mois ou plus afin d'identifier les violations potentielles. Anomali Match :
- Evalue toutes les nouvelles données de menace à leur arrivée
- Analyse chaque évènement réseau au cours des 12 derniers mois ou plus
- Renvoie toutes les correspondances de menaces en quelques secondes
- Distribue les correspondances aux SIEM ou à d'autres intégrations
Détectez les Menaces Existantes
Les équipes de sécurité doivent également surveiller en permanence le trafic réseau à la recherche d’activité émanant de menaces connues. En règle général, les organisations recueillent et suivent des millions d'IOC, ce qui rend difficile la surveillance de correspondances dans l'ensemble du réseau. Anomali Enterprise :
- Recueille et gère des volumes illimités d’IOC
- Associe les IOC aux volumes illimités de journaux
- Signale automatiquement toute activité d’IOC dans les journaux
- Diffuse les correspondances d’indicateurs aux SIEM et autres systèmes
Les Intégrations Essentielles
Anomali Enterprise s'intègre dans les sources de renseignements sur les menaces, les sources de journaux, les SIEM, ainsi que d'autres systèmes. Sitôt les indicateurs d’intérêt identifiés avec certitude, Anomali Enterprise peut alimenter automatiquement les SIEM en alertes, à des fins de surveillance continue ou de blocage.
- Entre les renseignements de menaces provenant de ThreatStream
- Analyse les données des journaux de Syslog, SIEM, AWS S3, Netflow/sFlow
- Permet des enquêtes approfondies sur les menaces au sein de ThreatStream
- Intègre les correspondances de menaces dans les SIEM et systèmes de réponse aux incidents
DGA
Les DGA (Algorithmes de Génération de Domaines) sont largement utilisés dans les logiciels malveillants pour configurer des domaines de commande et de contrôle. Ces domaines ont souvent une courte durée de vie, ce qui signifie qu'ils ne figurent pas sur les listes de renseignements sur les menaces. Par le biais d'algorithmes d'apprentissage automatique sophistiqués, Anomali Enterprise détecte le trafic vers les domaines DGA et envoi des alertes immédiates. En outre, elle associe les domaines DGA détectés à des familles spécifiques de logiciels malveillants.
Threat Intelligence: A New Approach
Learn more about Anomali’s approach to operationalizing threat intelligence