INTEGRIERTE KOMPETENZ AUS DEN LOGRHYTHM LABORATORIEN Security Analytics Suite Network Behavior Anomaly Detection Um heutige fortschrittliche Gefahren erkennen zu können, braucht es ein erweitertes Verständnis für die Aktivitäten in einem Unternehmensnetzwerk. Das hohe Datenaufkommen in diesen Netzen macht es für Administratoren schwierig, herkömmlichen Datenverkehr von schädlichem Datenverkehr zu unterscheiden. Hinzu kommt: Ist das Netzwerk erst einmal verseucht, können viele SicherheitsWerkzeuge nicht ausreichend detaillierte Informationen zum Angriff liefern. Diese sind aber nötig, um mit Hilfe von netzwerkforensischen Untersuchungen der Ursache des Angriffes auf die Spur zu kommen. Ganz zu schweigen von aktiven Maßnahmen zur Behebung des Schadens. Network Behavior Anomaly Detection Die „Network Behavior Anomaly Detection Security Analytics Suite“ wurde von Report der Top 10 Applikationen ausgesuchten Experten bei LogRythm speziell dafür entwickelt, ungewöhnlichen Datenverkehr in Unternehmensnetzen in Echtzeit aufzuspüren. Die Software ist in der Lage ein Verhaltensmuster für normalen Datenverkehr zu definieren. Das macht sie indem sie Daten auswertet, die von bestehenden Sicherheitstools im Netz generiert werden. Dazu gehören NextGen-Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS), Schwachstellen-Scanner und Identity-Access-Management-Systeme. Diese Informationen werden abgeglichen mit dem anderen Datenverkehr im Netz. So kann die Software erkennen, wenn die Aktivitäten im Unternehmensnetz von einem vorher definierten „Normalverhalten“ abweichen oder wenn Hochrisikodatenverkehr im Netzwerk auftaucht, der vorher durch Analysen als solcher klassifiziert wurde. Zusätzlich forschen die LogRhythm-Techniker fortlaufend nach neuen Bedrohungen und pflegen diese in die Suite ein, um den Benutzern die größtmögliche Netzwerksicherheit zu gewährleisten. Zusätzlich zur Analyse des Datenflusses kann die „Network Behavioural Anomaly Detection Security Analytics Suite“ einen großen Satz an Paket-Metadaten vorhalten, die das Programm aus jeder Netzwerksitzung ableitet. Dazu gehören auch Layer-7-Daten, die von LogRhythms Netzwerk-Monitor erfasst werden. Nimmt der Netzwerk-Monitor verdächtige Aktivitäten war, initiiert LogRhythms „SmartCapture“ eine Analyse sämtlicher aktiven Netzwerk-Sitzungen für tiefergehende forensische Untersuchungen. Der Netzwerk-Monitor kann außerdem alle Datenpakete aufzeichnen, um einen genauen Überblick zu gewährleisten über die aktiven Programme und deren Kommunikation sowie der Inhalte, die über das Netzwerk übermittelt wurden. „Network Beaviour Anomaly Detection“ bei der Arbeit: Mit der „Network Behavior Anomaly Detection Security Analytics Suite” können Anwender folgende Bedrohungen aufspüren: Ungewöhnliche Netzwerkaktivitäten Netzwerkadministratoren, müssen jederzeit in der Lage sein, die gültigen Regeln für das Unternehmensnetzwerk umzusetzen. Dazu gehört auch, dass sie in Echtzeit unsachgemäße Nutzung des Netzwerks erkennen, zum Beispiel wenn Anwender verbotene Programme starten. LogRhythms „Network Behavior Detection Suite“ bildet den gesamten Netzwerkverkehr ab, um ungewöhnliche Netzwerkaktivitäten sofort zu erkennen. Dazu gehören auch unangemessene Programme und Programme, die ungewöhnliche Ports benutzen. Mit Hilfe der IdentitätsRückverfolgung von LogRhythm können die Administratoren jene Anwender identifizieren und über „SmartResponse“ das dazugehörige Benutzerkonto sperren. Daten-Extraktion Um sensible Daten zu schützen, müssen Unternehmen den ausgehenden Datenverkehr überwachen. Zum Beispiel jene Daten, die zwischen Cloud und Unternehmensnetzwerk hin und her wandern. Ohne großen Konfigurationsaufwand erkennt die „Network Behavior Anomaly Detection Suite“ anhand von vordefinierten so genannten AI-Engine-Regeln große Datenmengen auf dem Weg nach draußen und alarmiert die Administratoren. Zusätzlich identifiziert die Suite die Anwendung am Ziel, um die Zulässigkeit des Datenverkehrs bewerten zu können. Versteckte Schadsoftware Unternehmen müssen einen Weg finden, Schadprogramme der nächsten Generation aufzuspüren, welche die Sicherheitssysteme im Firmennetz ausgetrickst haben und bereits ins Netzwerk eingedrungen sind. Durch genaue Analyse einzelner Netzwerkprotokolle, ohne sich dabei ausschließlich auf die jeweils gängigen Ports zu verlassen, kann die „Network Behavior Anomaly Detection Suite“ Kommunikationsmuster erkennen, die auf so genannte Botnet Callbacks zu Command-and-Control-Servern hinweisen. Wenn eine solche Aktivität entdeckt wird, können Administratoren eine Untersuchung zum Host starten und mit Hilfe von „Smart Capture“ automatisiert jeden Netzwerkverkehr aufzeichnen, der mit der Bedrohung in Verbindung gebracht wird. WWW.LOGRHYTHM.COM SECURITY ANALYTICS SUITE – NETWORK BEHAVIOR ANOMALY DETECTION Um den Aufwand bei der Konfiguration und Inbetriebnahme zu reduzieren, liefert LogRhythm die „Network Behavior Anomaly Detection Security Analytics Suite“ mit einer Reihe vorkonfigurierter Regeln, Reports und AI Engine Rules und Nachforschungs-Layouts, um ungewöhnlichen Netzwerkverkehr identifizieren zu können. Die Suite wird regelmäßig auf den neuesten Stand gebracht, basierend auf neuesten Forschungsergebnissen aus den Laboratorien von LogRhythm. Hier eine Auswahl der implementierten Funktionen: Lister der unterstützten Programme Ü18-Inhalte Intern/DMZ DNS Server Sport Nicht vertrauenswürdige Länder Intern/DMZ Webserver SSL/TLS Chat Mobil Streaming-Dienste Datenbank Nachrichten Tunneling Deep Web Online Storage Nicht vertrauenswürdige Programme eCommerce Peer to Peer Voice over IP File Sharing Proxy Webmail Glücksspiel Remote Access Vertrauenswürdige Länder Spiele SAS/Cloud HTTP Suchportale HTTPS Social Media Verdächtige Top Level Domains AI Engine Rules Ungewöhnliche Software-Aktivitäten Übermäßig viele externe FW-Zurückweisungen gefolgt von gestatteten Zugriffen Aktive Verbindungen für mehr als 48 Stunden Angriffe gefolgt von erlaubten Zugriffen durch die Firewall HTTP über unüblichen Port Gebrauch nicht vertrauenswürdiger Programme Blacklist-Transfer außerhalb der Bürozeiten Remote-Access-Anfragen aus nicht vertrauenswürdigen Ländern DDoS-Angriffe auf Webserver Chat-Verkehr Non-Whitelist-Transfer außerhalb der Bürozeiten Große Mengen ausgehender Daten Sprünge von DMZ zu DMZ Aktivitäten nicht vertrauenswürdiger Länder Entdeckung krimineller Hosts Top 10 Domains Top 10 Host-Namen (Quelle und Ziel) Liste der entdeckten kriminellen Hosts Top 10 Programme Gebrauch nicht vertrauenswürdiger Programme NBAD Ereignisse Reports Untersuchungen /Ausstattung Non-HTTP-Verkehr über Port 80 Gebrauch nicht vertrauenswürdiger Programme Aktivitäten aus Ländern, die nicht auf der Whitelist stehen Netzwerk-Monitoring der vergangenen 30 Minuten Aktivitäten aus nicht vertrauenswürdigen Ländern Benutzeroberfläche zur Analyse Daten-Extraktion Verwendung Die „Network Behavior Anomaly Detection Security Analytics Suite“ eignet sich für den Einsatz in Umgebungen mit unterschiedlichen Betriebssystemen, zum Beispiel verschiedene Linux-Varianten, Windows und Solaris-Distributionen. Die Inbetriebnahme der Suite ist sehr einfach gehalten. Nachdem die Anwendung geladen wurde, müssen Administratoren lediglich noch die für sie relevanten Alarme aktivieren. LogRhythm Germany GmbH · Balanstrasse 73, Haus 7 · 81541 München Telefon: 089-919292-200 · Telefax: 089-919292-222 · www.logrhythm.com [email protected] ©2015 LogRhythm Inc. | LogRhythm_Solution_Brief_SECURITY ANALYTICS SUITE –NETWORK BEHAVIOR ANOMALY DETECTION
© Copyright 2024 ExpyDoc
