Расширенная аналитика событий безопасности c функциями поведенческого анализа
Назначение платформы
- формирование аналитического контента современными методами расширенной аналитики данных от средств защиты информации корпоративной сети (SIEM, DLP, AV, FW и др.) и дополнительной контекстной информации (AD, HR и др.);
- построение моделей поведения пользователей и объектов, выявление аномалий;
- предоставление инструментария ИБ-специалистам для выявления признаков, расследования и сбора цифровых доказательств инцидентов ИБ.
Если в организации:
- инциденты безопасности вовремя не выявляются или затягивается их расследование
Причина – персонал службы безопасности перегружен ручным анализом логов многочисленных информационных систем и средств информационной безопасности (ИБ). - SIEM-система генерирует много ложных срабатываний, не обнаруживает новые типы атак
Причина – правила корреляции ограничены анализом последовательности событий для известных атак. - нет целостного представления о состоянии кибербезопасности
Причина – аналитическая информация фрагментирована по средствам ИБ, комплексный анализ организационных и технических процессов безопасности предприятия отсутствует.
Повысьте эффективность процессов кибербезопасности с помощью платформы расширенной аналитики безопасности Ankey ASAP
Решения на платформе Ankey ASAP повышают результативность выявления инцидентов традиционных SIEM-систем, когда:
- большой поток событий скрывает подозрительное поведение конкретных пользователей и систем;
- невозможно или сложно сформулировать правила корреляции;
- динамика изменений объекта контроля требует непрерывной адаптации моделей анализа данных.
Решения на платформе Ankey ASAP сокращают время обнаружения атак и расследования инцидентов благодаря расширенным средствам анализа данных:
- технологии поведенческой аналитики для автоматического обнаружения подозрительного изменения в поведении пользователей и систем;
- автоматической ассоциации событий по пользовательским сессиям и с контекстной нормативно-справочной информацией о пользователях и системах;
- визуальному исследованию в интерактивном режиме по произвольным срезам данных.
Основной функционал:
- выявление злонамеренных инсайдеров;
- ранжирование потока инцидентов безопасности по приоритетам;
- обнаружение изменений в поведении сотрудника и злоупотребления рабочим временем;
- выявление нарушений политик безопасности: утечки данных, использование запрещенного программного обеспечения и т.п.
Для успешного внедрения решений на платформе Ankey ASAP предлагаем:
- подключить к платформе источники данных заказчика;
- настроить решение для работы в ИТ-инфраструктуре заказчика;
- адаптировать алгоритмы поведенческой аналитики под бизнес-требования заказчика;
- обучить персонал заказчика.
Архитектура
Основным поставщиком данных для платформы Ankey ASAP являются SIEM-системы.
В качестве дополнительных источников используются нормативно-справочные и плановые данные:
- конфигурация ИТ-инфраструктуры;
- информация по объектам из AD;
- данные систем HR и IDM.
Модуль поведенческого анализа использует полученные данные для определения базовой модели поведения пользователей или объектов, чтобы идентифицировать ненормальное поведение, выявить отклонения или подозрения на инциденты.
Для задач анализа выявленных подозрений Ankey ASAP предоставляет контекстную информацию обо всех пользователях и объектах, связанных с выявленным отклонением или полученным инцидентом из SIEM.
В модуле реагирования и расследования, в соответствии с классом инцидента и опытом предыдущих расследований, подбирается актуальный сценарий расследования и реагирования на инцидент.
Архитектура платформы инвариантна по отношению к типу обрабатываемых данных, что позволяет использовать её для задач анализа и выявления отклонений в технологических (ICS/SCADA) или бизнес (ERP) процессах.