Vectra AI küberohtude avastamise ja reageerimise lahendus logihaldusega (ByteLife)

Vectra AI küberohtude avastamise ja reageerimise lahendus logihalduse kirjeldus teenustingimustest
1  Tuvastamise ja analüüsi automatiseerimine
1.1 Lahendus kasutab masinõppe baasil Network Detection and Response (NDR) tehnoloogiat.
1.2 Lahendus tuvastab ja liigitab automaatselt kõik ohud, sealhulgas ründefaasi ja riski, ilma manuaalse sekkumise vajaduseta.
1.3 Lahendus kogub ja prioriseerib aja jooksul ohte füüsiliste hostide kaupa, isegi IP- ja kasutajatunnuse muutuste korral.
1.4 Lahendus eristab võtmetähtsusega varasid teistest hostidest riski prioriseerimiseks.
1.5 Lahendusel on mehhanism, mis automaatselt näitab avastamise kindlust, kui ohud tuvastatakse anomaaliate põhjal.
1.6 Lahendus suudab kategoriseerida järgmised ohud:
1.6.1 botivõrgu käitumine, sealhulgas rämpspost, DDoS, välise haavatavuse skaneerimine, bitcoinide kaevandamine jne;
1.6.2 varjatud tunnelid (HTTP, HTTPS ja DNS), mida kasutatakse käsu- ja juhtimiseks ning andmete väljaviimiseks;
1.6.3 algoritmiliselt loodud domeenide või DGA-de kasutamine;
1.6.4 kohandatud RAT-id (Remote Access Trojan) tavalisest kasutajaliiklusest;
1.6.5 andmete väljaviimine sõltumata kasutaja identiteedist või IP-aadressist;
1.6.6 ründaja siseluure;
1.6.7 luure, kasutades aeglaseid või "paranoilisi" võrguskaneeringuid;
1.6.8  haldus- ja haldusprotokollide (sh RDP, SSH ja IPMI) väärkasutamine.

 2  Ohu prioriteet ja uurimine
2.1 Lahendus automaatselt hindab ja prioritiseerib iga tuvastatud ründaja käitumise.
2.2 Lahendus automaatselt hindab ja seab igale seadmele prioriteedi, lähtudes selle käitumisest aja jooksul.
2.3 Lahendus pakub suuremat nähtavust võtmetähtsusega varadele, millel on tuvastatud ründaja käitumine.
2.4 Lahendusel on võimalus teavitada tellija töötajaid ohuskoori alusel.
2.5 Lahendus pakub individuaalseid skoore nii ohu kui ka kindluse/usaldusväärsuse jaoks.
2.6 Lahendus võimaldab nähtavust hostide omavahelise liikluse kohta.
2.7 Lahendus pakub analüüsimiseks tuvastatud ründaja käitumise paketthõivet (packet capture).
2.8 Uurimise hõlbustamiseks on lahenduse igas metaandmete kirjes seadme hostinimi.

3 Tuvastamise metoodika
3.1 Lahendus tuvastab ohud võrguliikluse pakettide analüüsi põhjal.
3.2 Lahendusel on võimalus tuvastada võrgupõhiseid ohte krüpteeritud liikluses.
3.3 Lahendus tuvastab kohandatud või tundmatud ohud, kus puudub signatuur või IP/domeeni maine ajalugu.
3.4 Lahendus on rakendatav kõikides kasutaja- ja infrastruktuuriseadmetes (Windows, Mac, mobiilseadmed, asjade internet, ruuterid, tulemüürid jne).
3.5 Lahendusel on triaaži võimalus valepositiivsete tulemuste minimeerimiseks.
3.6 Lahendus esitab iga tuvastuse kohta Mitre ATT&CK kaardistuse, et optimeerida tuvastuse hindamist.

4 Ohtude kohalik modelleerimine
4.1 Lahendus tuvastab potentsiaalselt kahjulikke anomaaliaid, mis põhinevad kõrvalekaldumisel õpitud kohalikest normidest võrgus.
4.2 Lahendus õpib pidevalt võrgu ja selle kasutuse muutudes.
4.3 Lahendusel on võime tuvastada ohte uutes seadmetes või seadmetes, mis olid juba ohustatud, kui baastase oli moodustatud.

5  Analüüs ja integreerimine
5.1 Lahendus säilitab võrgu paketi salvestusi tuvastatud ründaja käitumisest
5.2 Lahendus pakub API põhist juurdepääsu kõikidele sündmustele, hostidele ja hindamisteabele, et integreerida teiste turvalahenduste ja operatsioonisüsteemidega.
5.3 Uurimise tõhususe suurendamiseks võimaldab lahendus integratsiooni EDR lahendustega ja liidab EDR andmed otse enda kasutajaliidesesse. Toetatud on vähemalt järgmised EDR lahendused: CrowdStrike, Microsoft Defender, SentinelOne, Cybereason, FireEye.
5.4 Lahendus võimaldab ohtude tuvastamist pilveteenustest Azure AD, Microsoft 365, AWS.
5.5 Lahendus võimaldab ohtudele reageerimiseks integratsiooni kohaliku tulemüüriga, mis on kas Fortinet, Palo Alto, Juniper või Check Point.

6  Tuvastavate ohtude tüübid
6.1 Lahendus tuvastab vähemalt järgmist tüüpi ohud:
6.1.1 ründajate poolt kasutatavad kaugjuhtimistunnelid kompromiteeritud süsteemide kontrollimiseks;
6.1.2 peidetud tunnelid HTTP, HTTPS või DNS kaudu suhtlemiseks C&C-ga (Command and Control) või andmete väljaveoks;
6.1.3 veebipõhine C&C (IP maine või ohtude loeteludele mitte tuginev);
6.1.4 pahavara, mis kasutab võltsbrauserit;
6.1.5 pahavara värskendamine;
6.1.6 pahavara, mis kopeerib pakke (Payload) teistele hostidele/kasutab turvaauke teiste hostide vastu;
6.1.7 TOR liiklus;
6.1.8 P2P (Peer-to-Peer) liiklus;
6.1.9 Botneti rahastamise käitumine: klikipettus, bitcoinide kaevandamine, väljaminev DoS, väljaminev SPAM;
6.1.10 lunavara tegevus: failide jagamine;
6.1.11 võrgu luure skaneerib: pordiskaneerimised, pordiulatuse skaneerimine, kasutamata IP-de skaneerimine;
6.1.12 varastatud kasutajatunnuste kasutamine hostilt, kus seda varem pole kasutatud;
6.1.13 varastatud kasutajatunnuste kasutamine tavapärasest süsteemist, kuid ebatavaliste teenuste või liigse mahuga päringute jaoks;
6.1.14 host, kes proovib mitmeid volitusi serveri juurdepääsu saamiseks;
6.1.15 Kerberos teenuse skaneerimine;
6.1.16 Brute Force rünnakud;
6.1.17 haldusprotokollide (sh RDP, SSH ja IPMI) kasutamine, mille kaudu lähtehost sihtkosti tavaliselt ei halda;
6.1.18  host, mis viib andmeid ebatavalisse sihtkohta;
6.1.19 host, mis kogub ebatavaliselt suuri andmeid ja saadab seejärel välisele IP-le;
6.1.20 host, mida kasutatakse releena andmete viimiseks välisesse süsteemi.

Teenuse komponendid, millest tellija komplekteerib talle vajaliku paketi, on järgmised: