🥇ሆል እንደ የደህንነት መሳሪያ - 2, ወይም ኤፒቲን እንዴት "በቀጥታ ማጥመጃ" እንደሚይዝ

(ለርዕሱ ሀሳብ ለሰርጌይ ጂ ብሬስተር አመሰግናለሁ sebres)

ባልደረቦች፣ የዚህ ጽሁፍ አላማ በማታለል ቴክኖሎጂዎች ላይ የተመሰረተ አዲስ ክፍል IDS መፍትሄዎችን የአንድ አመት የሙከራ ስራ ልምድ ማካፈል ነው።

የቁሳቁስን አቀራረብ አመክንዮአዊ ወጥነት ለመጠበቅ ከግቢው መጀመር አስፈላጊ እንደሆነ አስባለሁ. ስለዚህ ችግሩ፡-

ምንም እንኳን በጠቅላላው የአስጊዎች ቁጥር ውስጥ ያላቸው ድርሻ አነስተኛ ቢሆንም የታለሙ ጥቃቶች በጣም አደገኛው የጥቃቱ አይነት ናቸው።
ምንም ዋስትና ያለው ውጤታማ ዘዴ ፔሪሜትር (ወይም የዚህ አይነት ስብስብ) እስካሁን አልተፈጠረም።
እንደ አንድ ደንብ, የታለሙ ጥቃቶች በበርካታ ደረጃዎች ይከናወናሉ. ፔሪሜትርን ማሸነፍ ከመጀመሪያዎቹ ደረጃዎች ውስጥ አንዱ ብቻ ነው, እሱም (ድንጋይ ሊወረውሩኝ ይችላሉ) በ "ተጎጂው" ላይ ብዙ ጉዳት አያስከትልም, በእርግጥ, የ DEoS (የአገልግሎት መጥፋት) ጥቃት (ኢንክሪፕተሮች, ወዘተ) ካልሆነ በስተቀር. .) ትክክለኛው "ህመም" የሚጀምረው በኋላ ላይ ነው, የተያዙት ንብረቶች ለ "ጥልቀት" ጥቃትን ለማነሳሳት እና ለማዳበር ጥቅም ላይ መዋል ሲጀምሩ, እና ይህን አላስተዋልንም.
አጥቂዎች በመጨረሻ የጥቃቱ ኢላማ ላይ ሲደርሱ (የአፕሊኬሽን ሰርቨሮች፣ ዲቢኤምኤስ፣ የመረጃ ማከማቻዎች፣ ማከማቻዎች፣ ወሳኝ የመሠረተ ልማት ክፍሎች) ሲደርሱ እውነተኛ ኪሳራ መቀበል ስለምንጀምር የመረጃ ደህንነት አገልግሎት አንዱ ተግባር ከዚህ በፊት ጥቃቶችን ማቋረጥ መሆኑ ምክንያታዊ ነው። ይህ አሳዛኝ ክስተት. ነገር ግን አንድን ነገር ለማቋረጥ በመጀመሪያ ስለሱ ማወቅ አለቦት። እና በቶሎ, የተሻለ ይሆናል.
በዚህ መሠረት ለስኬታማ የአደጋ አያያዝ (ይህም በተነጣጠሩ ጥቃቶች ላይ የሚደርሰውን ጉዳት ለመቀነስ) አነስተኛውን TTD (ለመለየት ጊዜ - ከጥቃቱ ጊዜ አንስቶ ጥቃቱ እስከሚገኝበት ጊዜ ድረስ) የሚያቀርቡ መሳሪያዎች መኖሩ በጣም አስፈላጊ ነው. በኢንዱስትሪው እና በክልሉ ላይ በመመስረት ይህ ጊዜ በአሜሪካ ውስጥ በአማካይ 99 ቀናት ፣ በ EMEA ክልል 106 ቀናት ፣ በ APAC ክልል 172 ቀናት (M-Trends 2017 ፣ የፊት መስመር እይታ ፣ ማንዲያንት)።
ገበያው ምን ይሰጣል?
- "ማጠሪያ ሳጥኖች". ሌላ የመከላከያ ቁጥጥር, ይህም ከትክክለኛው የራቀ ነው. የአሸዋ ሳጥኖችን ወይም የተፈቀደላቸው መፍትሄዎችን ለመለየት እና ለማለፍ ብዙ ውጤታማ ዘዴዎች አሉ። ከ "ከጨለማው ጎን" ያሉት ሰዎች አሁንም እዚህ አንድ እርምጃ ወደፊት ናቸው.
- UEBA (የመገለጫ ባህሪያትን እና ልዩነቶችን ለመለየት ስርዓቶች) - በንድፈ ሀሳብ, በጣም ውጤታማ ሊሆን ይችላል. ግን በእኔ አስተያየት ይህ በጣም ሩቅ በሆነ ጊዜ ውስጥ ነው። በተግባር, ይህ አሁንም በጣም ውድ ነው, አስተማማኝ ያልሆነ እና በጣም የበሰለ እና የተረጋጋ የአይቲ እና የመረጃ ደህንነት መሠረተ ልማት ያስፈልገዋል, ይህም አስቀድሞ ለባህሪ ትንተና መረጃን የሚያመነጩ ሁሉም መሳሪያዎች አሉት.
- SIEM ለምርመራዎች ጥሩ መሳሪያ ነው, ነገር ግን አዲስ እና ኦርጅናሉን በጊዜው ማየት እና ማሳየት አይችልም, ምክንያቱም የግንኙነት ደንቦቹ ልክ እንደ ፊርማዎች ተመሳሳይ ናቸው.
በውጤቱም, የሚከተለው መሣሪያ ያስፈልጋል:
- ቀደም ሲል በተበላሸ ፔሪሜትር ሁኔታዎች ውስጥ በተሳካ ሁኔታ ሰርቷል ፣
- ጥቅም ላይ የዋሉ መሳሪያዎች እና ተጋላጭነቶች ምንም ቢሆኑም ፣ በእውነተኛ ጊዜ ውስጥ የተሳኩ ጥቃቶች ተገኝተዋል ፣
- በፊርማዎች/ህጎች/ስክሪፕቶች/መመሪያዎች/መገለጫዎች እና ሌሎች ቋሚ ነገሮች ላይ የተመካ አይደለም፣
- ለመተንተን ብዙ መጠን ያለው መረጃ እና ምንጮቻቸው አይፈልጉም ፣
- ተጨማሪ ምርመራ የሚያስፈልገው “በአለም ላይ ካሉ ምርጦች ፣በፓተንት እና ስለሆነም በተዘጋ ሂሳብ” ስራ የተነሳ ጥቃቶች እንደ አንድ ዓይነት አደጋ-ውጤት እንዲገለጹ አይፈቅድም ፣ ግን በተግባር እንደ ሁለትዮሽ ክስተት - “አዎ ፣ እየተጠቃን ነው” ወይም “አይ፣ ሁሉም ነገር ደህና ነው”፣
- ጥቅም ላይ የዋለው አካላዊ እና ሎጂካዊ አውታረመረብ ቶፖሎጂ ምንም ይሁን ምን ሁለንተናዊ፣ በብቃት ሊሰፋ የሚችል እና በማንኛውም የተለያየ አካባቢ ለመተግበር የሚቻል ነበር።

የማታለል መፍትሄዎች የሚባሉት አሁን ለእንደዚህ አይነት መሳሪያ ሚና እየተሽቀዳደሙ ነው። ያም ማለት በጥሩ የድሮው የ honeypots ፅንሰ-ሀሳብ ላይ የተመሰረቱ መፍትሄዎች, ግን ሙሉ ለሙሉ የተለየ የትግበራ ደረጃ. ይህ ርዕስ በእርግጠኝነት አሁን እየጨመረ ነው.

በውጤቶቹ መሠረት የጋርትነር ደህንነት እና ሪስክ አስተዳደር ጉባኤ 2017 የማታለል መፍትሄዎች በ TOP 3 ስልቶች እና ጥቅም ላይ እንዲውሉ በሚመከሩ መሳሪያዎች ውስጥ ተካትተዋል.

በዘገባው መሰረት ታግ የሳይበር ደህንነት አመታዊ 2017 ማታለል የ IDS ወረራ ማወቂያ ስርዓቶች) መፍትሄዎች ዋና ዋና አቅጣጫዎች አንዱ ነው.

የኋለኛው አንድ ሙሉ ክፍል የአይቲ ደህንነት ሪፖርት Cisco ሁኔታ, ለ SCADA የተሰጠ, በዚህ ገበያ ውስጥ ካሉት መሪዎች አንዱ በሆነው ትራፕኤክስ ሴኪዩሪቲ (እስራኤል) መረጃ ላይ የተመሰረተ ነው, ይህም መፍትሄው በእኛ የሙከራ አካባቢ ለአንድ አመት እየሰራ ነው.

TrapX Deception ግሪድ የፈቃድ ጭነት እና የሃርድዌር ግብዓቶች መስፈርቶችን ሳይጨምሩ በሰፊው የሚሰራጩ መታወቂያዎችን በማእከላዊነት እንዲያወጡ እና እንዲሰሩ ይፈቅድልዎታል። እንዲያውም ትራፕክስ አሁን ካለው የአይቲ መሠረተ ልማት አካላት በድርጅት አቀፍ ደረጃ የሚደርሱ ጥቃቶችን ለመለየት አንድ ትልቅ ዘዴ፣ የተከፋፈለ አውታረ መረብ “ማንቂያ” ለመፍጠር የሚያስችል ገንቢ ነው።

የመፍትሄው መዋቅር

በእኛ ላቦራቶሪ ውስጥ በ IT ደህንነት መስክ የተለያዩ አዳዲስ ምርቶችን በቋሚነት እናጠና እና እንሞክራለን። በአሁኑ ጊዜ፣ TrapX Deception Grid ክፍሎችን ጨምሮ 50 የሚያህሉ የተለያዩ ምናባዊ አገልጋዮች እዚህ ተሰማርተዋል።

ስለዚህ ከላይ እስከ ታች፡-

TSOC (TrapX Security Operation Console) የስርዓቱ አንጎል ነው። ይህ ውቅረት ፣ የመፍትሄው መዘርጋት እና ሁሉም የዕለት ተዕለት ሥራዎች የሚከናወኑበት ማዕከላዊ አስተዳደር ኮንሶል ነው። ይህ የድር አገልግሎት ስለሆነ በማንኛውም ቦታ - በፔሪሜትር, በደመና ውስጥ ወይም በ MSSP አቅራቢ ላይ ሊሰማራ ይችላል.
TrapX Appliance (TSA) በክትትል ልንሸፍናቸው የምንፈልጋቸውን ንዑስ ኔትወርኮች የግንድ ወደብ በመጠቀም የምንገናኝበት ምናባዊ አገልጋይ ነው። እንዲሁም ሁሉም የእኛ የአውታረ መረብ ዳሳሾች በእርግጥ እዚህ "በቀጥታ" ይኖራሉ።
የእኛ ቤተ-ሙከራ አንድ TSA ተዘርግቷል (mwsapp1) አለው፣ ግን በእውነቱ ብዙ ሊኖሩ ይችላሉ። ይህ በክፍሎች መካከል የ L2 ግንኙነት በሌለበት በትልልቅ አውታረ መረቦች ውስጥ አስፈላጊ ሊሆን ይችላል (የተለመደው ምሳሌ "Holding and subsidiaries" ወይም "የባንክ ዋና ቢሮ እና ቅርንጫፎች") ወይም አውታረ መረቡ ገለልተኛ ክፍሎች ካሉት ለምሳሌ አውቶማቲክ የሂደት ቁጥጥር ስርዓቶች. በእያንዳንዱ እንደዚህ አይነት ቅርንጫፍ/ክፍል ውስጥ የእራስዎን TSA ማሰማራት እና ከአንድ TSOC ጋር ማገናኘት ይችላሉ, ሁሉም መረጃ በማዕከላዊነት ይከናወናል. ይህ አርክቴክቸር ኔትወርኩን በጥልቅ ማዋቀር ወይም ነባሩን ክፍልፋይ ሳያስተጓጉል የተከፋፈሉ የክትትል ስርዓቶችን እንድትገነቡ ይፈቅድልሃል።

እንዲሁም የወጪ ትራፊክ ቅጂ ወደ TSA በTAP/SPAN በኩል ማስገባት እንችላለን። ከታወቁ botnets፣ ከትእዛዝ እና ቁጥጥር አገልጋዮች ወይም ከ TOR ክፍለ-ጊዜዎች ጋር ግንኙነቶችን ካገኘን ውጤቱን በኮንሶል ውስጥ እንቀበላለን። የኔትወርክ ኢንተለጀንስ ዳሳሽ (ኤንአይኤስ) ለዚህ ተጠያቂ ነው። በአካባቢያችን, ይህ ተግባር በፋየርዎል ላይ ይተገበራል, ስለዚህ እዚህ አልተጠቀምንም.
የመተግበሪያ ወጥመዶች (ሙሉ ስርዓተ ክወና) - በዊንዶውስ አገልጋዮች ላይ የተመሰረቱ ባህላዊ የማር ማሰሮዎች። የእነዚህ አገልጋዮች ዋና ዓላማ የአይቲ አገልግሎትን ለቀጣዩ የዳሳሽ ንብርብር ማቅረብ ወይም በዊንዶውስ አካባቢ ሊሰማሩ የሚችሉ የንግድ መተግበሪያዎች ላይ ጥቃቶችን መለየት ስለሆነ ብዙዎቹን አያስፈልጎትም። በእኛ ላብራቶሪ ውስጥ የተጫነ አንድ አገልጋይ አለን (FOS01)
የተመሰሉ ወጥመዶች የመፍትሄው ዋና አካል ሲሆኑ አንድ ነጠላ ቨርቹዋል ማሽን በመጠቀም ለአጥቂዎች በጣም ጥቅጥቅ ያለ “ፈንጂ መስክ” ለመፍጠር እና የኢንተርፕራይዝ ኔትወርክን ፣ ሁሉንም ቪላኖቹን ፣ በእኛ ዳሳሾች ለማርካት ያስችለናል። አጥቂው እንዲህ ዓይነቱን ዳሳሽ ወይም ፋንተም አስተናጋጅ እንደ እውነተኛ ዊንዶውስ ፒሲ ወይም አገልጋይ ፣ሊኑክስ አገልጋይ ወይም ሌላ እሱን ለማሳየት የወሰንንበትን መሳሪያ ነው የሚያየው።

ለንግድ ስራ እና ለፍላጎት ሲባል “የእያንዳንዱን ፍጥረት ጥንድ” አሰማርተናል - ዊንዶውስ ፒሲ እና የተለያዩ ስሪቶች አገልጋይ ፣ ሊኑክስ አገልጋዮች ፣ ኤቲኤም በዊንዶውስ የተካተተ ፣ SWIFT ድር መዳረሻ ፣ የአውታረ መረብ አታሚ ፣ ሲሲስኮ ማብሪያ / ማጥፊያ ፣ የአክሲስ አይፒ ካሜራ ፣ ማክቡክ ፣ ፒኤልሲ - መሳሪያ እና ዘመናዊ አምፖል እንኳን። በአጠቃላይ 13 አስተናጋጆች አሉ። በአጠቃላይ ሻጩ እንደዚህ አይነት ዳሳሾችን ቢያንስ በ 10% የእውነተኛ አስተናጋጆች ብዛት እንዲሰማሩ ይመክራል። የላይኛው አሞሌ የሚገኘው የአድራሻ ቦታ ነው።

በጣም አስፈላጊው ነጥብ እያንዳንዱ እንደዚህ አይነት አስተናጋጅ ሀብቶችን እና ፈቃዶችን የሚፈልግ ሙሉ ቨርቹዋል ማሽን አይደለም. ይህ ማታለያ፣ ኢምሌሽን፣ በ TSA ላይ አንድ ሂደት ነው፣ እሱም የመለኪያዎች ስብስብ እና የአይፒ አድራሻ አለው። ስለዚህ በአንድ TSA እርዳታ አውታረ መረቡን በመቶዎች በሚቆጠሩ እንደዚህ ያሉ የፋንተም አስተናጋጆችን እናሟላለን, ይህም በማንቂያ ስርዓት ውስጥ እንደ ዳሳሾች ይሠራሉ. በየትኛውም ትልቅ የተከፋፈለ ኢንተርፕራይዝ ውስጥ የማር ማሰሮ ጽንሰ-ሀሳብን ወጪ ቆጣቢ በሆነ መልኩ ለማስፋት ያስቻለው ይህ ቴክኖሎጂ ነው።

ከአጥቂ አንፃር እነዚህ አስተናጋጆች የሚስቡ ናቸው ምክንያቱም ተጋላጭነቶችን ያካተቱ እና በአንፃራዊነት ቀላል ኢላማዎች ስለሚመስሉ ነው። አጥቂው በእነዚህ አስተናጋጆች ላይ አገልግሎቶችን ይመለከታል እና ከእነሱ ጋር መስተጋብር መፍጠር እና መደበኛ መሳሪያዎችን እና ፕሮቶኮሎችን (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus ወዘተ) በመጠቀም ሊያጠቃቸው ይችላል። ነገር ግን ጥቃትን ለመፍጠር ወይም የራስዎን ኮድ ለማስኬድ እነዚህን አስተናጋጆች መጠቀም አይቻልም።
የእነዚህ ሁለት ቴክኖሎጂዎች ጥምረት (FullOS እና የተመሰሉ ወጥመዶች) አጥቂ ፈጥኖም ይሁን ዘግይቶ አንዳንድ የምልክት መስጫ አውታረ መረቦችን የሚያጋጥመውን ከፍተኛ ስታቲስቲካዊ እድልን እንድናገኝ ያስችለናል። ግን ይህ ዕድል ወደ 100% ቅርብ መሆኑን እንዴት ማረጋገጥ እንችላለን?
የማታለል ምልክቶች የሚባሉት ወደ ጦርነቱ ይገባሉ። ለእነሱ ምስጋና ይግባውና ሁሉንም ነባር ፒሲዎች እና የኢንተርፕራይዙ አገልጋዮችን በተከፋፈለው መታወቂያችን ውስጥ ማካተት እንችላለን። ቶከኖች በተጠቃሚዎች እውነተኛ ፒሲዎች ላይ ተቀምጠዋል። ቶከኖች ሀብትን የሚበሉ ወኪሎች እንዳልሆኑ እና ግጭቶችን ሊያስከትሉ እንደሚችሉ መረዳት በጣም አስፈላጊ ነው. ቶከኖች ወደ ወጥመድ የሚወስዱት ለአጥቂው ወገን “የዳቦ ፍርፋሪ” ዓይነት ተገብሮ የመረጃ አካላት ናቸው። ለምሳሌ ካርታ የተሰራ የኔትወርክ ድራይቮች፣ በአሳሹ ውስጥ ለሐሰተኛ የድር አስተዳዳሪዎች ዕልባቶች እና ለእነሱ የተቀመጡ የይለፍ ቃሎች፣ ssh/rdp/winscp ክፍለ ጊዜዎች ተቀምጠዋል፣ በአስተናጋጆች ፋይሎች ውስጥ ያሉ አስተያየቶች ወጥመዶቻችን፣ በማስታወሻ ውስጥ የተቀመጡ የይለፍ ቃሎች፣ የሌሉ ተጠቃሚዎች ምስክርነቶች፣ ቢሮ ፋይሎች፣ ስርዓቱን የሚቀሰቅሰው መክፈት እና ብዙ ተጨማሪ። ስለዚህም አጥቂውን በተዛባ አካባቢ እናስቀምጠዋለን፣ በአጥቂ ቬክተር ተሞልቶ በእኛ ላይ ስጋት በማይፈጥሩ፣ ይልቁንም በተቃራኒው። እና መረጃው የት እውነት እንደሆነ እና የት ውሸት እንደሆነ የሚያውቅበት መንገድ የለውም። ስለዚህም ጥቃትን በፍጥነት ፈልጎ ማግኘት ብቻ ሳይሆን ግስጋሴውን በከፍተኛ ሁኔታ እንቀንሳለን።

የአውታረ መረብ ወጥመድ የመፍጠር እና ቶከኖችን የማዘጋጀት ምሳሌ። ተስማሚ በይነገጽ እና ምንም የእጅ ማዋቀር ፣ ስክሪፕቶች ፣ ወዘተ.

በአካባቢያችን ውስጥ ብዙ እንደዚህ ያሉ ቶከኖችን አዋቅረን በ FOS01 ዊንዶውስ አገልጋይ 2012R2 እና በዊንዶውስ 7 ላይ ባለው የሙከራ ፒሲ ላይ አስቀምጠናል ። RDP በእነዚህ ማሽኖች ላይ እየሰራ ነው እና እኛ በየጊዜው በዲኤምዜድ ውስጥ "እንሰቅላቸዋለን" እና በርካታ የእኛ ዳሳሾች ባሉበት። (የተመሰሉ ወጥመዶች) እንዲሁ ይታያሉ። እንግዲያውስ በተፈጥሮ ለመናገር የማያቋርጥ የአደጋዎች ፍሰት እናገኛለን።

ስለዚህ፣ ለዓመቱ አንዳንድ ፈጣን ስታቲስቲክስ እነሆ፡-

56 - የተመዘገቡ ክስተቶች,
2 - የጥቃት ምንጭ አስተናጋጆች ተገኝተዋል።

በይነተገናኝ፣ ጠቅ ሊደረግ የሚችል የጥቃት ካርታ

በተመሳሳይ ጊዜ, መፍትሄው አንዳንድ ዓይነት ሜጋ-ሎግ ወይም የክስተት ምግብ አያመነጭም, ይህም ለመረዳት ረጅም ጊዜ ይወስዳል. ይልቁንም መፍትሄው ራሱ ክስተቶችን በዓይነታቸው ይመድባል እና የመረጃ ደህንነት ቡድኑ በዋናነት በጣም አደገኛ በሆኑት ላይ እንዲያተኩር ያስችለዋል - አጥቂው የቁጥጥር ክፍለ ጊዜዎችን ከፍ ለማድረግ ሲሞክር ወይም ሁለትዮሽ ክፍያዎች (ኢንፌክሽን) በእኛ ትራፊክ ውስጥ ሲታዩ።

በመረጃ ደህንነት መስክ መሰረታዊ እውቀት ላለው ተጠቃሚም ቢሆን በእኔ አስተያየት ፣ ስለ ዝግጅቶች ሁሉም መረጃዎች ሊነበቡ እና ቀርበዋል ።

አብዛኛዎቹ የተመዘገቡት ክስተቶች አስተናጋጆቻችንን ወይም ነጠላ ግንኙነቶችን ለመቃኘት የተደረጉ ሙከራዎች ናቸው።

ወይም ለRDP የይለፍ ቃሎችን ለማስገደድ ይሞክራል።

ግን የበለጠ አስደሳች ጉዳዮችም ነበሩ ፣ በተለይም አጥቂዎች ለ RDP የይለፍ ቃሉን ለመገመት እና ወደ አካባቢያዊ አውታረመረብ ለመግባት ሲችሉ።

አንድ አጥቂ psexecን በመጠቀም ኮድ ለማስፈጸም ይሞክራል።

አጥቂው የተቀመጠ ክፍለ ጊዜ አግኝቷል፣ ይህም በሊኑክስ አገልጋይ መልክ ወጥመድ ውስጥ እንዲገባ አድርጎታል። ከተገናኘ በኋላ ወዲያውኑ በአንድ አስቀድሞ በተዘጋጀ የትዕዛዝ ስብስብ ሁሉንም የምዝግብ ማስታወሻ ፋይሎችን እና ተዛማጅ የስርዓት ተለዋዋጮችን ለማጥፋት ሞክሯል።

አንድ አጥቂ SWIFT ድር መዳረሻን በሚመስል የማር ማሰሮ ላይ የSQL መርፌን ለመስራት ይሞክራል።

ከእንደዚህ አይነት "ተፈጥሯዊ" ጥቃቶች በተጨማሪ በርካታ የራሳችንን ሙከራዎች አድርገናል. በጣም ገላጭ ከሆኑት አንዱ በአውታረ መረብ ላይ የአውታረ መረብ ትል የሚለይበትን ጊዜ መሞከር ነው። ይህንን ለማድረግ ከ GuardiCore የሚባል መሳሪያ ተጠቀምን ኢንፌክሽን ዝንጀሮ. ይህ ዊንዶውስ እና ሊኑክስን ሊሰርቅ የሚችል የአውታረ መረብ ትል ነው, ነገር ግን ያለ ምንም "የክፍያ ጭነት".
የአካባቢውን የትእዛዝ ማእከል አሰማርተናል፣ የመጀመሪያውን የትል ማሽኑን በአንዱ ማሽን ላይ አስነሳን እና የመጀመሪያውን ማንቂያ በ TrapX ኮንሶል ውስጥ ከአንድ ደቂቃ ተኩል ባነሰ ጊዜ ውስጥ ደረሰን። TTD 90 ሰከንድ ከ 106 ቀናት ጋር በአማካይ...

ከሌሎች የመፍትሄ ክፍሎች ጋር ለመዋሃድ ባለን አቅም ምስጋና ይግባውና ዛቻዎችን በፍጥነት ከመፈለግ ወደ አውቶማቲክ ምላሽ ወደመስጠት ልንሸጋገር እንችላለን።

ለምሳሌ፣ ከ NAC (Network Access Control) ስርዓቶች ወይም ከካርቦን ብላክ ጋር መቀላቀል የተበላሹ ፒሲዎችን ከአውታረ መረቡ በቀጥታ እንዲያቋርጡ ያስችልዎታል።

ከማጠሪያ ሳጥኖች ጋር መቀላቀል በጥቃቱ ውስጥ የተሳተፉ ፋይሎችን በራስ-ሰር ለመተንተን ያስችላል።

የ McAfee ውህደት

እንዲሁም መፍትሄው የራሱ የሆነ አብሮ የተሰራ የክስተት ትስስር ስርዓት አለው።

ነገር ግን በችሎታው አልረካንም፣ ስለዚህ ከHP ArcSight ጋር አዋህደነዋል።

አብሮገነብ የቲኬት መመዝገቢያ ስርዓት መላው ዓለም የተገኙ ስጋቶችን እንዲቋቋም ይረዳል።

መፍትሔው የተዘጋጀው "ከመጀመሪያው ጀምሮ" ለመንግስት ኤጀንሲዎች ፍላጎቶች እና ለትልቅ የኮርፖሬት ክፍል ስለሆነ, በተፈጥሮ ሚና ላይ የተመሰረተ የመዳረሻ ሞዴል, ከ AD ጋር መቀላቀል, የዳበረ የሪፖርቶች እና ቀስቅሴዎች ስርዓት (የክስተት ማንቂያዎች), ኦርኬስትራ ተግባራዊ ያደርጋል. ትላልቅ የመያዣ መዋቅሮች ወይም የ MSSP አቅራቢዎች.

ከሪሚስተር ይልቅ

እንደዚህ አይነት የክትትል ስርዓት ካለ, በምሳሌያዊ አነጋገር, ጀርባችንን ይሸፍናል, ከዚያም በፔሚሜትር ስምምነት ሁሉም ነገር ገና እየጀመረ ነው. በጣም አስፈላጊው ነገር የመረጃ ደህንነት ጉዳዮችን ለመቋቋም እውነተኛ እድል አለ, እና ውጤቶቻቸውን ለመቋቋም አይደለም.

ምንጭ: hab.com

ቀዳዳ እንደ የደህንነት መሳሪያ - 2, ወይም APT "በቀጥታ ማጥመጃ ላይ" እንዴት እንደሚይዝ

የመፍትሄው መዋቅር

የ McAfee ውህደት

ከሪሚስተር ይልቅ

አስተያየት ያክሉ ምላሽ መሰረዝ