7 най-добри заплахи за разузнаване (TIPs)

7 най-добри заплахи за разузнаване (TIPs)

А Платформа за заплаха за разузнаване (TIP) има за цел да блокира повтарящите се нападатели и да идентифицира общи проникващи вектори. Тази нова технология е напредък в традиционните антивирусни (AV) и защитни стени системи. СЪВЕТ ще защитите вашето ИТ оборудване, като прилагате стратегии за обучение, базирани на AI.

През последните години се появиха редица технологии за подмяна с цел подобряване на защитата, осигурена от традиционните зловредни системи. Програмите срещу злонамерен софтуер сравняват кода на новите програми, работещи на компютър, с база данни от предварително открити подписи на зловреден софтуер.

Има много повече информация за всеки от инструментите по-долу, но в случай, че имате време само за бърз поглед, ето го нашия списък от седемте най-добри платформи за разузнаване на заплахи:

  1. SolarWinds Security Event Manager (БЕЗПЛАТНА ПРОБЛЕМА) Използва стратегия за откриване на заплаха за анализ на файлове в журнал, комбинирана с външно извличане на живо от известия за заплаха.
  2. ManageEngine Log360 (БЕЗПЛАТНА ПРОБЛЕМА) Търси заплахи в данните от лог файл от Windows Server или Linux и добавя информация за заплахи от три източника.
  3. SolarWinds Threat Monitor (БЕЗПЛАТНА ПРОБА) Облачна услуга, предлагана на MSP. Това е инструмент SIEM, който позволява на MSP да добавят мониторинг на сигурността към списъка си с услуги.
  4. Atera (БЕЗПЛАТНА ПРОБА) Системен монитор, създаден за MSP, включващ одит на софтуер и анализ на дневника.
  5. Платформа за сигурност FireEye Helix Комбинира облачна базирана конзола за откриване на заплахи SIEM, методи за обучение на AI и емисия за заплаха за разузнаване.
  6. Унифицирано управление на сигурността AlienVault Включва откриване на заплаха, реакция на инциденти и споделяне на информация за заплахата.
  7. LogRhythm NextGen SIEM Включва мониторинга на данните за трафика на живо и анализа на файловите записи на журнали.

В традиционния модел за борба с зловредния софтуер, централна изследователска лаборатория изследва нови заплахи за извличане на модели, които ги идентифицират. След това тези характеристики на зловреден софтуер се разпространяват във всички инсталирани AV програми, които компанията е продала на клиенти. Местната система срещу злонамерен софтуер поддържа база данни за заплахи, която съдържа този списък с подписи, получени от централната лаборатория.

Моделът на базата данни с AV заплахи вече не е ефективен при защита на компютрите. Това е така, защото професионалните екипи от хакери сега участват в линии за производство на зловреден софтуер с нови заплахи, които се появяват ежедневно. Тъй като отнема време на изследователските лаборатории да забележат нов вирус и след това да идентифицират неговите характеристики, времето за изпълнение на типичните AV решения вече е твърде дълго, за да предложи ефективна защита.

Откриване на заплаха

Платформата за разузнаване на заплахи все още включва база данни за заплахи. Но вместо да разчитат на потребители, които съобщават за странно поведение в централата на AV производителя, новите системи за киберсигурност целят да съдържат всички изследвания и отстраняване на заплахите за оборудването на всеки клиент. Всъщност всяка TIP инсталация се превръща в съставен пакет за откриване, анализ и разделителна способност. Вече не е необходимо да се актуализира базата данни на заплахите от централна лаборатория, защото всяка машина изпълнява работата на изследователския екип.

Този разпределен модел на събиране на данни за AV е много по-ефективен в борбата с атаките с „нулев ден“. Терминът „нулев ден“ се отнася до нови вируси, които все още не са идентифицирани от основните AV лаборатории в света и срещу които, все още, няма ефективна защита. Всяка машина обаче не работи сама. Информацията за откритите нови заплахи се споделя между потребителите на конкретна марка TIP.

TIP използва процедури за откриване на място докато все още разчитате на база данни за заплахи, която се допринася от локален анализ, както и чести изтегляния от лабораториите на доставчика на софтуер. Тези изтегляния са получени от откритията, направени от същия TIP, който е инсталиран на други сайтове от други клиенти.

Избор на съвет

Въпреки че всеки TIP използва подобен набор от стратегии за откриване на злонамерени събития, не всички съвети са еднакво ефективни. Някои производители се фокусират върху един конкретен тип устройство и една конкретна операционна система. Те могат също така да осигурят системи за защита за други видове устройства и операционни системи, но без същото ниво на успех, което са постигнали с основния си продукт.

Не е лесно да забележите добър TIP, а твърденията, похвалите и неясният индустриален жаргон, използван на промоционалните уебсайтове на техните производители, прави търсенето на правилния TIP много уморително упражнение. За щастие, направихме краката за вас.

Най-добрите заплахи за разузнаване

Ето по-подробни описания на всяко от нашите най-добрите седем препоръчани съвета.

1. SolarWinds Security Manager Manager (БЕЗПЛАТНА ПРОБЛЕМА)

SolarWinds Security Event Manager

Мениджър на събития за сигурност (SEM) от комбайни SolarWinds проследяване на събитията във вашата мрежа с a емисия за заплаха за разузнаване доставя се от външен източник. Този инструмент не само ще открива заплахи, но автоматично ще задейства реакции, за да защити вашата система.

В основата на това решение за сигурност ще намерите инструмент за анализ на журнали. Това следи дейността на мрежата, търси необичайни събития и също така проследява промените в основни файлове. Вторият елемент на този съвет от SolarWinds е a кибер заплаха разузнавателна рамка.

Security Event Manager работи от база данни с известни подозрителни събития и подушва мрежата в погледа за всякакви подобни събития. Някои подозрителни дейности могат да бъдат забелязани само чрез комбиниране на данни от отделни източници на вашата система. Този анализ може да се извърши само чрез анализ на журнала на събитията и затова не е задача в реално време.

Въпреки че SEM започва с база данни за подписване на заплати, която не е на разположение, инструментът ще коригира и разшири този магазин от профили на заплахи, докато е в експлоатация. Този процес на обучение намалява досадната поява на „фалшиви позитиви,”, Което може да накара някои служби за защита на заплаха да закрият законната дейност.

Журналният анализатор в SEM непрекъснато събира записи от лотовете от несъвместими източници и ги преформатира в общо невронно оформление. Това дава възможност на анализатора да търси модели на дейност в цялата ви система, независимо от конфигурацията, типа на оборудването или операционната система.

Мениджърът на събития за сигурност се инсталира на Windows Server и SolarWinds предлага системата на a 30-дневен безплатен пробен период. Този пробен период ще ви даде време да изпробвате ръчните екрани за определяне на правила, които ви позволяват да подобрите базата данни за информация за заплахите, за да отразявате по-точно типичните дейности на вашия сайт. Ще можете също така да дадете пълен опит на модула за отчитане на съответствието, за да гарантирате, че SEM отговаря на всички ваши нужди за отчитане.

SolarWinds Security Event ManagerDownload 30-дневна БЕЗПЛАТНА пробна версия

2. ManageEngine Log360 (БЕЗПЛАТНА ПРОБЛЕМА)

7 най-добри заплахи за разузнаване (TIPs)

ManageEngine Log360 е много изчерпателен TIP, който изследва всички възможни източници на данни от лога, за да засили сигурността на системата.

ManageEngine вече предлага набор от инструменти за управление и анализ на журнали. Въпреки това, компанията реши да ги обедини в комбиниран модул, който покрива всички възможни файлови базирани източници на системна информация. ИТ също интегрира външни източници на информация като STIX / TAXII-базирани емисии на IP адреси в черен списък.

Както и за контрол Журнали за събития, инструментът интегрира информацията, пребиваваща в Active Directory. Това помага на механизма за откриване на този инструмент да провери кой има правата за успех на ресурсите, използвани в дейностите, които записват съобщения. Инструментът следи промените в Active Directory, за да гарантира, че натрапниците не могат да си предоставят права за достъп.

Обхватът на този инструмент за сигурност се простира до мрежата, тъй като той също събира одитни доклади от AWS, лазурен, и Размяна онлайн.

Вие знаете, че Exchange, Azure, дневници на събития и Active Directory са всички продукти на Microsoft. Въпреки това, Log360 не се ограничава до наблюдение на базирани на Windows системи. Той също така събира дневници, повдигнати на Linux и Unix система, като Syslog съобщения. Инструментът ще изследва всички съобщения на IIS и Apache Web Server и обхваща съобщения, генерирани от оракул бази данни.

Вашият мрежов хардуер и периметър системи за сигурност също имат важна информация за споделяне и така Log360 слуша за лог съобщения, възникващи при защитни стени, рутери и комутатори. Ако имате инсталирани други системи за откриване и защита на проникване, Log360 ще интегрира своите констатации в своите обобщения на разузнавателните данни за заплахи.

Log360 не създава регистрационни файлове за регистрационни файлове, които може да пренебрегнете. Системата създава сигнали в реално време, така че вашият екип ще бъде уведомен веднага щом бъде открита подозрителна активност. В допълнение към мониторинга, пакетът Log360 редовно проверява, обобщава и отчита сигурността на цялата ви ИТ система.

Можете да инсталирате софтуера Log360 на Windows и Windows Server. ManageEngine оферти 30-дневен безплатен пробен период от Професионално издание  Има Безплатно издание това е ограничено до събиране на данни от лога само от пет източника. Ако имате различни изисквания, можете обсъдете ценообразуването за пакет, който отговаря на вашите нужди.

ManageEngine Log360Изтеглете 30-дневна БЕЗПЛАТНА пробна версия

3. SolarWinds MSP Threat Monitor (БЕЗПЛАТНА ПРОБА)

7 най-добри заплахи за разузнаване (TIPs)

Най- Монитор на заплахите е продукт на SolarWinds MSP която предоставя софтуер и услуги за поддръжка на управлявани доставчици на услуги. МСП редовно предлагат услуги за управление на мрежова и ИТ инфраструктура и затова добавянето на мониторинг на сигурността е естествено продължение на редовните дейности на такива МСП.

Това е информация за сигурността и управление на събития (SIEM) система. SIEM разглежда както активната активност на наблюдаваната система, така и търси в системните регистрационни файлове, за да открие следи от злонамерени дейности. Услугата е в състояние да следи на място системите на клиентите на MSP, както и всякакви лазурен или AWS сървър, който клиентът използва.

Предимствата на монитора SolarWinds Threat Intelligence се състоят в способността му да събира информация от всяка точка на мрежата и свързаните към нея устройства. Това дава по-изчерпателен поглед върху атаките от един-единствен пункт за събиране. Заплахите се идентифицират по моделите на поведение, а също и по отношение на централната база данни SolarWinds Threat Intelligence, която се актуализира постоянно. Най- база данни за заплахи се съставя от записи на събития, случващи се по целия свят. Така той е в състояние да забележи веднага, когато хакерите започват глобални атаки или опитват същите трикове срещу много различни жертви.

Нивата на алармата на услугата могат да се регулират от MSP оператора. Таблото за управление на системата включва визуализации за събития, като циферблати и диаграми, както и живи списъци с проверки и събития. Услугата се доставя от облака и така е достъп до който и да е уеб браузър. SolarWinds Threat Intelligence е услуга за абонамент, така че е напълно мащабируема и подходяща за използване от MSP от всички размери. Можете да изпробвате софтуера на 30-дневна безплатна пробна версия.

SolarWinds Threat MonitorStart 30-дневна БЕЗПЛАТНА пробна версия

4. Atera (БЕЗПЛАТНА ПРОБА)

7 най-добри заплахи за разузнаване (TIPs)

ATERA е поддържаща платформа, създадена за управлявани доставчици на услуги (MSP). то е доставени от облака, така че MSP не е необходимо да инсталира никакъв софтуер в своите помещения и дори не се нуждае от стартиране на някаква основна ИТ инфраструктура. Всичко, от което се нуждае, е компютър с интернет връзка и уеб браузър. Наблюдаваната система обаче се нуждае от специален софтуер, инсталиран върху нея. Това е агентна програма който събира данни и комуникира със сървърите Atera.

Като отдалечена услуга, Atera е в състояние да следи всяко клиентско съоръжение, включително базирано в облак AWS и лазурен сървъри. Услугата включва процес на автоматично откриване, който регистрира цялото оборудване, свързано към мрежата. За крайните точки и сървърите мониторинговата система ще сканира целия софтуер, създавайки инвентар. Това е съществен източник на информация за управление на лицензи за софтуер и също така е важна защита от заплаха n услуга. След като софтуерната инвентаризация е съставена, операторът може да провери какъв неоторизиран софтуер е инсталиран на всяко устройство и след това да го изтрие.

Най- сървърен монитор проверява процесите като част от редовните му задачи и това ще подчертае работата на зловреден софтуер. Операторът може да осъществява достъп до сървъра от разстояние и да убива нежелани процеси.

Atera следи контролерите за права на достъп на сайта на клиента, включително Active Directory. Инструментът Live Manager в пакета Atera дава достъп до Събитие на Windows регистрира и предоставя източник за търсене на възможни нарушения на сигурността.

Още една услуга за защита от заплаха, съдържаща се в пакета Atera, е неговата патч мениджър. Това автоматично актуализира операционни системи и софтуер за ключови приложения, когато станат достъпни. Тази важна услуга гарантира, че всички средства за експлоатация, произведени от софтуерни доставчици, се инсталират възможно най-бързо.

Atera се таксува чрез абонамент със зададена тарифа на техник. Купувачите могат да избират между месечен план за плащане или годишна ставка. Годишният период на плащане работи по-евтино. Можете да получите достъп до 30-дневен безплатен пробен период да постави Атера през крачките си.

30-дневна БЕЗПЛАТНА пробна версия на AteraStart

5. Платформа за сигурност FireEye Helix

Платформа за сигурност FireEye Helix

Платформа за сигурност FireEye Helix е облачна базирана смесена система за защита на мрежи и крайни точки. Инструментът включва подход SIEM, който следи дейността на мрежата, а също така управлява и търси лог файлове. Най- емисии за интелигентни заплахи предоставена от FireEyes завършва това многостранно решение, като предоставя актуализирана база данни за заплахи за вашата система за наблюдение.

FireEyes е известна фирма за киберсигурност и използва своя опит за предоставяне на разузнавателна информация за заплахата абонамент основа. Форматът и дълбочината на тази интелигентност зависят от плана, избран от клиента. FireEyes предлага предупреждения за цялата индустрия за нови вектори на заплахи, които позволяват на мениджърите на инфраструктурата да планират отбраната. Той също така предлага емисия за информация за заплахата, която се превежда директно в правила за откриване и разрешаване на заплахи в Helix Security Platform.

Пакетът Helix включва също „playbooks,”, Които са автоматизирани работни процеси, които въвеждат отстраняване на заплахата, след като бъде открит проблем. Тези решения понякога включват съвети за безопасни практики и дейности по домакинство, както и автоматизирани отговори.

6. Унифицирано управление на сигурността AlienVault

AlienVault USM

Унифицирано управление на сигурността на AlienVault (USM) е продукт на AT&T Киберсигурност, която придоби марката AlienVault през 2018 г. AlienVault USM се развива от проект с отворен код, наречен OSSIM, което означава „управление на информацията за сигурност с отворен код.“ OSSIM все още е на разположение безплатно, като AlienVault USM работи заедно с търговски продукт.

OSSIM всъщност е неправилно, тъй като системата е пълна SIEM, включваща и мониторинг на анализа на съобщенията на журнала с проверка на мрежовия трафик в реално време. AlienVault USM също включва и двата елемента. AlienVault има редица допълнителни функции, които не са налични в OSSIM, като консолидация на журнали, управление на съхранението на файлове и архивиране. AlienVault USM е услуга за абонамент, базирана в облак което идва с пълна поддръжка по телефон и имейл, докато OSSIM е достъпен за изтегляне и разчита на форумите на общността за поддръжка.

Основно предимство, което е достъпно за потребителите както на безплатните, така и на платените продукти за сигурност, е достъпът до Отворена обмяна на заплахи (OTX). Това е най-голямата в света платформа за разузнаване на заплахите. Информацията, предоставена на OTX, може да бъде изтеглена автоматично в AlienVault USM за предоставяне на актуална база данни за заплахи. Това осигурява правилата за откриване и работните процеси за разделяне, необходими на SIEM. Достъпът до OTX е безплатен за всички.

7. LogRhythm NextGen SIEM

LogRhythm

LogRhythm го определя NextGen SIEM като рамка за управление на жизнения цикъл на заплахата (TLM). Платформата обслужва два продукта на LogRhythm, които са диапазоните Enterprise и XM. И двата продукта се предлагат или като уред или като софтуер. LogRhythm Enterprise е насочен към много големи организации, които LogRhythm XM обслужват малки и средни предприятия.

SIEM означава Управление на информацията за събития за сигурност. Тази плътна стратегия съчетава две дейности, управление на информацията за сигурността (SIM) и управление на събития за сигурност (SEM). SEM следи трафика в реално време, търсейки модели на атака, които се съхраняват в база данни със заплахи. SIM също се отнася до базата данни на заплахите, но сравнява събитията, записани в лог файлове, с моделите, изложени в правилата за откриване на заплаха.

Софтуерът за NextGen SIEM може да бъде инсталиран на Windows, Linux, или Unix. Също така е възможно вашата система за управление на заплахите да бъде напълно независима от вашия хардуер, като закупите системата като уред, който се свързва към вашата мрежа.

Избор на TIP

Секторът на киберсигурността в момента е много жизнен. Нарастването на заплахите от проникване, добавящи към непрекъснато съществуващия риск от злонамерен софтуер, принуди индустрията да преосмисли напълно своя подход към защитата на системата. Тази ситуация доведе до това, че големите AV производители инвестират големи суми пари иновативни техники на ИИ и нови стратегии за борба с хакери и кибертерористи.

Новите играчи на пазара оказват допълнителен натиск върху репутацията на утвърдени доставчици на киберсигурност и поддържат натискане на границите на технологията за киберсигурност. Платформите за заплахи за разузнаване играят важна роля в борбата за киберсигурност, наред с SIEM и системите за предотвратяване на проникване.

Въпреки че през цялото време се появяват нови съвети, ние сме сигурни, че препоръчителните платформи за разузнаване на заплахите от нашия списък ще останат начело на пакета. Това е така, защото компаниите, които ги предоставят, имат дългогодишен опит в тази област и са показали, че са готови да правят иновации, за да продължат да заплашват.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

18 + = 21

Adblock
detector