Новый релиз NDR-системы от «Гарда Технологии»
Компания «Гарда Технологии» анонсировала релиз «Гарда Монитор 3.1» – новую версию своей системы выявления и реагирования на сетевые угрозы (Network Detection and Response, NDR). По результатам анализа лучших практик в сегменте NDR для выявления угроз и расследования сетевых инцидентов в систему добавлен раздел «Последние события», который позволяет анализировать все выявленные угрозы в одном окне и реагировать на них.
В интерфейс добавлен виджет «Распределение по типам угроз», который отображает выявленные события в разрезе времени, показывает, в каких категориях, в каких типах угроз, какие именно события были зафиксированы, упрощая анализ и проведение расследований инцидентов.
В карточках событий содержится детализированная информация по интересующим полям, их вид динамически перестраивается в зависимости от необходимых подробностей. От события можно перейти в раздел с указанием места его детектирования, увидеть контекст и получить доступ к тому сетевому потоку, на котором произошло срабатывание. Источниками данных являются либо срабатывания по фильтрам политик, либо результаты, выявленные с помощью поведенческого анализа.
Для выявления аномалий в «Гарда Монитор» используется ML-модель поведенческого анализа, которая строится на анализе сетевого трафика. Для обучения пользователь определяет параметры, которые модель должна отслеживать, и указывает его срок. По истечению срока система предоставляет возможность сравнить текущие данные с прогнозом модели и в случае отклонений уведомляет об аномалиях. В новом релизе усовершенствовано отображение данных. Теперь система по умолчанию демонстрирует все данные на двухчасовом интервале, показывает всплески, которые можно визуально сравнить со значениями из модели, для оценки отклонений.
Кроме того, в «Гарда Монитор 3.1» добавлены поведенческие модели без обучения. Они позволяют выявлять пороговые события по количеству установленных соединений, объемам передаваемых данных, проводить медленное сканирование системы и периодические запросы (маяки) на внешние ресурсы. Таким образом появилась возможность выявлять самые последние ботнеты и обращения к C&C без сигнатур и IoC.
«Гарда Монитор» интегрируется с другими решениями компании. Например, его применение совместно с «Гарда Скаут» открывает возможность выявлять угрозы в зашифрованном трафике без использования ssl fingerprint, доступных в «Гарда Монитор». Совместное использование с «Гарда Сталкер» позволяет расширить возможности детектирования угроз, подключив потоки данных с индикаторами компрометации (фиды) и их ретроспективный поиск.