Cyberzagrożenia stale ewoluują, a zapobieganie włamaniom do sieci jest coraz trudniejsze. Ponadto wielka liczba fałszywych alarmów sprawia, że identyfikowanie rzeczywistych zagrożeń jest trudne. W tym stale zmieniającym się krajobrazie bezpieczeństwa dzielenie się przez organizacje danymi z analizy zagrożeń oraz stosowanie strategii zapobiegawczych i obronnych odgrywa kluczową rolę w przeciwdziałaniu cyberzagrożeniom.
Moduł analizy zagrożeń w EventLog Analyzer jest dostosowany do udostępniania danych z analizy zagrożeń za pośrednictwem międzynarodowych kanałów informacji o zagrożeniach, takich jak STIX, TAXII czy AlienVault OTX. Dzięki narzędziu EventLog Analyzer można otrzymywać błyskawiczne alerty e-mail i SMS, gdy złośliwe źródła IP próbują nawiązać interakcję z siecią.
Możliwość wykrywania ataków po pierwszym zwiastunie problemu dzięki:
W ten sposób można szybko i wydajnie zapobiegać naruszeniom bezpieczeństwa sieciowego.
Gdy sieć zostanie naruszona, może wystąpić potrzeba połączenia wielu zdarzeń w ramach sieci, aby potwierdzić i przeanalizować atak: ale korelacja zdarzeń daje potencjalnemu intruzowi dodatkowy czas na wykonywanie czynności w sieci.
Jeżeli wiadomo, że wcześniej podmiot działał w sposób podejrzany (dzięki STIX, TAXII oraz innym źródłom informacji o zagrożeniach), można podjąć działania w momencie interakcji z siecią, aby szybko ograniczyć zagrożenie.
Narzędzie EventLog Analyzer poszerza zakres wykrywania złośliwych adresów IP o globalną czarną listę adresów IP, co pozwala tworzyć silną platformę do analizy zagrożeń i szybko ograniczać z jej pomocą ataki. Realną korzyścią jest ograniczenie skutków naruszenia danych za pomocą analizy zagrożeń oraz szybka i niezawodna identyfikacja włamań do sieci.
Narzędzie EventLog Analyzer pozwala przetwarzać informacje pochodzące z kanałów opartych na AlienVault OTX oraz STIX/TAXII i powiadamiać użytkownika, gdy adresy IP i URL, znajdujące się na globalnej czarnej liście, wchodzą w interakcje z siecią.
STIX oferuje wspólny język do opisywania informacji o cyberzagrożeniach, aby można je było udostępniać, zapisywać oraz używać w inny, jednolity sposób, który ułatwia automatyzację. STIX pomaga zabezpieczać sieci i systemy przed cyberzagrożeniami, dając obrońcom przed zagrożeniami, analitykom ds. cyberzagrożeń, analitykom ds. złośliwego oprogramowania, sprzedawcom narzędzi bezpieczeństwa, analitykom bezpieczeństwa oraz społecznościom informującym o zagrożeniach dostęp do ustandaryzowanych informacji na temat zagrożeń.
TAXII to społecznościowa próba stworzenia zaufanego, zautomatyzowanego standardu wymiany informacji o cyberzagrożeniach. W TAXII ustalono pakiet usług i mechanizmów wymiany wiadomości, które po wprowadzeniu pozwalają organizacjom dzielić się praktycznymi informacjami o zagrożeniach.
AlienVault OTX (Open Threat Exchange) to największa na świecie crowdsourcingowa komputerowa platforma bezpieczeństwa. Łącznie ponad 26 000 uczestników ze 140 krajów codziennie udostępnia informacje o ponad milionie potencjalnych zagrożeń.
Społeczność OTX przekazuje i otrzymuje dane o zagrożeniach pod postacią pulsów. Puls OTX składa się z jednego lub większej liczby wskaźników naruszenia bezpieczeństwa systemu (IOC), które informują o zagrożeniu albo określają sekwencję działań, które mogą zostać wykonane do przeprowadzenia ataku na urządzenia sieciowe i komputery. Pulsy OTX ustalają też poziom pewności danych o zagrożeniach, identyfikują tożsamość osoby, która zgłosiła zagrożenie, oraz przekazują ważne szczegóły na temat dochodzeń w sprawie zagrożeń.
Nie licząc powyższych kanałów informujących o zagrożeniach, narzędzie EventLog Analyzer pozwala analizować dane dziennika z aplikacji do analizy zagrożeń, aby identyfikować kluczowe zdarzenia, takie jak złośliwe ataki, źródłowe i docelowe adresy IP, skany portów, wirusy i aktywne czynniki. Narzędzie EventLog Analyzer oferuje gotową obsługę narzędzi bezpieczeństwa od popularnych dostawców, w tym FireEye, Barracuda, WatchGuard oraz Symantec.