Vectra AI küberohtude
avastamise ja reageerimise lahendus logihalduse kirjeldus teenustingimustest
1 Tuvastamise
ja analüüsi automatiseerimine
1.1 Lahendus kasutab
masinõppe baasil Network Detection and Response (NDR) tehnoloogiat.
1.2 Lahendus tuvastab
ja liigitab automaatselt kõik ohud, sealhulgas ründefaasi ja riski, ilma
manuaalse sekkumise vajaduseta.
1.3 Lahendus kogub ja
prioriseerib aja jooksul ohte füüsiliste hostide kaupa, isegi IP- ja
kasutajatunnuse muutuste korral.
1.4 Lahendus eristab
võtmetähtsusega varasid teistest hostidest riski prioriseerimiseks.
1.5 Lahendusel on
mehhanism, mis automaatselt näitab avastamise kindlust, kui ohud tuvastatakse
anomaaliate põhjal.
1.6 Lahendus suudab
kategoriseerida järgmised ohud:
1.6.1 botivõrgu
käitumine, sealhulgas rämpspost, DDoS, välise haavatavuse skaneerimine,
bitcoinide kaevandamine jne;
1.6.2 varjatud tunnelid
(HTTP, HTTPS ja DNS), mida kasutatakse käsu- ja juhtimiseks ning andmete
väljaviimiseks;
1.6.3 algoritmiliselt
loodud domeenide või DGA-de kasutamine;
1.6.4 kohandatud RAT-id
(Remote Access Trojan) tavalisest kasutajaliiklusest;
1.6.5 andmete
väljaviimine sõltumata kasutaja identiteedist või IP-aadressist;
1.6.6 ründaja siseluure;
1.6.7 luure, kasutades
aeglaseid või "paranoilisi" võrguskaneeringuid;
1.6.8 haldus- ja
haldusprotokollide (sh RDP, SSH ja IPMI) väärkasutamine.
2 Ohu
prioriteet ja uurimine
2.1 Lahendus
automaatselt hindab ja prioritiseerib iga tuvastatud ründaja käitumise.
2.2 Lahendus
automaatselt hindab ja seab igale seadmele prioriteedi, lähtudes selle
käitumisest aja jooksul.
2.3 Lahendus pakub
suuremat nähtavust võtmetähtsusega varadele, millel on tuvastatud ründaja
käitumine.
2.4 Lahendusel on
võimalus teavitada tellija töötajaid ohuskoori alusel.
2.5 Lahendus pakub
individuaalseid skoore nii ohu kui ka kindluse/usaldusväärsuse jaoks.
2.6 Lahendus võimaldab
nähtavust hostide omavahelise liikluse kohta.
2.7 Lahendus pakub
analüüsimiseks tuvastatud ründaja käitumise paketthõivet (packet capture).
2.8 Uurimise
hõlbustamiseks on lahenduse igas metaandmete kirjes seadme hostinimi.
3 Tuvastamise
metoodika
3.1 Lahendus tuvastab
ohud võrguliikluse pakettide analüüsi põhjal.
3.2 Lahendusel on
võimalus tuvastada võrgupõhiseid ohte krüpteeritud liikluses.
3.3 Lahendus tuvastab
kohandatud või tundmatud ohud, kus puudub signatuur või IP/domeeni maine
ajalugu.
3.4 Lahendus on
rakendatav kõikides kasutaja- ja infrastruktuuriseadmetes (Windows, Mac,
mobiilseadmed, asjade internet, ruuterid, tulemüürid jne).
3.5 Lahendusel on
triaaži võimalus valepositiivsete tulemuste minimeerimiseks.
3.6 Lahendus esitab iga
tuvastuse kohta Mitre ATT&CK kaardistuse, et optimeerida tuvastuse
hindamist.
4 Ohtude
kohalik modelleerimine
4.1 Lahendus tuvastab
potentsiaalselt kahjulikke anomaaliaid, mis põhinevad kõrvalekaldumisel õpitud
kohalikest normidest võrgus.
4.2 Lahendus õpib
pidevalt võrgu ja selle kasutuse muutudes.
4.3 Lahendusel on võime
tuvastada ohte uutes seadmetes või seadmetes, mis olid juba ohustatud, kui
baastase oli moodustatud.
5 Analüüs ja
integreerimine
5.1 Lahendus säilitab
võrgu paketi salvestusi tuvastatud ründaja käitumisest
5.2 Lahendus pakub API
põhist juurdepääsu kõikidele sündmustele, hostidele ja hindamisteabele, et
integreerida teiste turvalahenduste ja operatsioonisüsteemidega.
5.3 Uurimise tõhususe
suurendamiseks võimaldab lahendus integratsiooni EDR lahendustega ja liidab EDR
andmed otse enda kasutajaliidesesse. Toetatud on vähemalt järgmised EDR
lahendused: CrowdStrike, Microsoft Defender, SentinelOne, Cybereason, FireEye.
5.4 Lahendus võimaldab
ohtude tuvastamist pilveteenustest Azure AD, Microsoft 365, AWS.
5.5 Lahendus võimaldab
ohtudele reageerimiseks integratsiooni kohaliku tulemüüriga, mis on kas Fortinet, Palo Alto, Juniper või Check Point.
6 Tuvastavate
ohtude tüübid
6.1 Lahendus tuvastab
vähemalt järgmist tüüpi ohud:
6.1.1 ründajate poolt
kasutatavad kaugjuhtimistunnelid kompromiteeritud süsteemide kontrollimiseks;
6.1.2 peidetud tunnelid
HTTP, HTTPS või DNS kaudu suhtlemiseks C&C-ga (Command and Control) või
andmete väljaveoks;
6.1.3 veebipõhine C&C
(IP maine või ohtude loeteludele mitte tuginev);
6.1.4 pahavara, mis
kasutab võltsbrauserit;
6.1.5 pahavara
värskendamine;
6.1.6 pahavara, mis
kopeerib pakke (Payload) teistele hostidele/kasutab turvaauke teiste hostide
vastu;
6.1.7 TOR liiklus;
6.1.8 P2P (Peer-to-Peer)
liiklus;
6.1.9 Botneti rahastamise
käitumine: klikipettus, bitcoinide kaevandamine, väljaminev DoS, väljaminev
SPAM;
6.1.10 lunavara tegevus:
failide jagamine;
6.1.11 võrgu luure
skaneerib: pordiskaneerimised, pordiulatuse skaneerimine, kasutamata IP-de
skaneerimine;
6.1.12 varastatud
kasutajatunnuste kasutamine hostilt, kus seda varem pole kasutatud;
6.1.13 varastatud
kasutajatunnuste kasutamine tavapärasest süsteemist, kuid ebatavaliste teenuste
või liigse mahuga päringute jaoks;
6.1.14 host, kes proovib
mitmeid volitusi serveri juurdepääsu saamiseks;
6.1.15 Kerberos teenuse
skaneerimine;
6.1.16 Brute Force
rünnakud;
6.1.17 haldusprotokollide
(sh RDP, SSH ja IPMI) kasutamine, mille kaudu lähtehost sihtkosti tavaliselt ei
halda;
6.1.18 host, mis viib
andmeid ebatavalisse sihtkohta;
6.1.19 host, mis kogub
ebatavaliselt suuri andmeid ja saadab seejärel välisele IP-le;
6.1.20 host, mida
kasutatakse releena andmete viimiseks välisesse süsteemi.
Teenuse komponendid, millest tellija komplekteerib talle vajaliku paketi, on järgmised:
Teenuse komponendid |
Arveldus |
500-999 IP (RUX) |
aasta |
1000-2000 IP (RUX) |
aasta |
500-999 IP (QUX) |
aasta |
1000-2000 IP (QUX) |
aasta |
250-499 AzureAD/M365 kasutajat |
aasta |
500-1000 AzureAD/M365 kasutajat |
aasta |
Lisa 3 kuni 14-päevane metaandmete säilitamine |
aasta |
Vectra Match |
aasta |
Vectra Cognito Stream |
aasta |
Vectra Recall |
aasta |
Virtuaalne Sensor |
aasta, tasuta |
Vistuaalne Brain |
aasta, tasuta |
Vectra X29 Brain / Sensor / Mixed Mode Appliance |
ühekordne |
Vectra S11 Sensor |
ühekordne |
S1 Sensor |
ühekordne |