«Гарда Технологии» анонсировала выпуск новой версии собственной NDR- (Network Detection and Response – система выявления и реагирования на сетевые угрозы) системы «Гарда Монитор 3.1». По результатам анализа лучших практик в сегменте NDR в систему для выявления угроз и расследования сетевых инцидентов добавлен раздел «Последние события», который позволяет анализировать все выявленные угрозы в одном окне и реагировать на них.
В интерфейс добавили виджет «Распределение по типам угроз». Он отображает выявленные события в разрезе времени, показывает, в каких категориях, в каких типах угроз, какие именно события были зафиксированы, тем самым упрощая анализ и проведение расследований инцидентов.
В карточках событий содержится детализированная информация по интересующим полям, их вид динамически перестраивается в зависимости от необходимых подробностей. От события можно перейти в раздел с указанием места его детектирования, увидеть контекст и получить доступ к тому сетевому потоку, на котором произошло срабатывание. Источниками данных являются либо срабатывания по фильтрам политик, либо результаты, выявленные с помощью поведенческого анализа.
Выявление аномалий в «Гарда Монитор» осуществляется с помощью ML-модели* поведенческого анализа, которая строится на анализе сетевого трафика. Для обучения пользователь определяет параметры, которые модель должна отслеживать, и указывает его срок. По истечению срока система предоставляет возможность сравнить текущие данные с прогнозом модели и в случае отклонений уведомляет об аномалиях. В новом релизе усовершенствовано отображение данных. Теперь система по умолчанию демонстрирует все данные на двухчасовом интервале, показывает всплески, которые можно визуально сравнить со значениями из модели – для оценки отклонений.
Кроме того, в «Гарда Монитор 3.1» добавлены поведенческие модели без обучения. Они позволяют выявлять пороговые события по количеству установленных соединений, объемам передаваемых данных, медленное сканирование системы и периодические запросы (маяки) на внешние ресурсы. Таким образом появилась возможность выявлять самые последние ботнеты и обращения к C&C без сигнатур и IoC.
«Новый релиз – это гигантский шаг вперед для развития продукта, своеобразный переход в другой класс, – говорит Станислав Грибанов, руководитель продукта «Гарда Монитор» компании «Гарда Технологии». – Помимо полного контроля сетевого трафика по SPAN/TAP и NetFlow, продукт начал выявлять угрозы двумя видами ML-моделей, используя только данные NetFlow. Улучшенная аналитическая система позволяет оперативно обрабатывать инциденты ИБ и при интеграции с SIEM передавать не «сырой» syslog, а выявленные инциденты. Активное реагирование через API «Гарда Монитор» позволяет блокировать вредоносные ресурсы с помощью автоматической отправки ACL на маршрутизаторы, а также передавать инциденты в IRP/SOAR-системы».
«Гарда Монитор» интегрируется с другими решениями компании, позволяя обеспечить киберустойчивость бизнеса. Например, применение совместно с «Гарда Скаут» открывает возможность выявлять угрозы в зашифрованном трафике без использования ssl fingerprint, доступных в «Гарда Монитор». Совместное использование с «Гарда Сталкер» позволяет расширить возможности детектирования угроз, подключив потоки данных с индикаторами компрометации (фиды) и их ретроспективный поиск.
*ML (machine learning) – машинное обучение