Особенности

Особенности

Симптоматика

  • Интерпретация событий в понятный вид
  • Тегирование события
  • Добавление отдельных риск-метрик
  • Добавление суммарной риск-метрики
  • Классификация событий

Корреляция

  • Rule-based корреляция
  • По серии или последовательным событиям
  • Историческая корреляция
  • Использование блоков симптоматики
  • Использование функций
  • Добавление пользовательских правил

Сетевой сенсор

  • Обнаружение угроз по трафику (фиды, malware, уязвимости ПО, попытки использования уязвимостей)
  • Анализ протоколов (обертки, нестандартные порты, туннели, команды, данные об авторизации)
  • Перехват передаваемых файлов (md5/sha1, scap)
  • Flow (заголовки трафика) для построения взаимосвязей
  • L7
  • Создание межзонных правил политики
  • Контроль SSL сертификатов

Аналитика

  • Фиды (URL, FQDN, Md5/SHA1, Email, IP)
  • Агрегаты веса по объектам (user.name, IP, Host, port, uid, etc)
  • Историческая корреляция
  • Построение зависимостей объектов
  • Построение взаимосвязей (пользователь-хост, процесс-пользователь, пользователь-логины, etc)
  • Восстановление логической последовательности составной симптоматики
  • Обнаружение угроз по накопленным данным
  • Обнаружение аномалий ("этого еще не было", "crc процесса уникально", etc)
  • Построение отчетов

Встроенный workflow

  • Фиксация угроз в виде инцидента
  • Взаимодействие между персоналом и отделами
  • Поиск взаимосвязей по объектам и инцидентам
  • Оповещение об инциденте
  • Приоритезация инцидентов
  • Фиксация и контроль сроков решения
  • Решение инцидента как подсказка при следующем типовом
  • Открытие проблемы при повторяющемся инциденте
  • Постановка задач внутри инцидентов
  • Инцидент-менеджмент согласно ITIL
  • Ролевая модель доступа к инцидентам