LiveAction выпустила ThreatEye NV - платформу для обнаружения и реагирования на сетевые угрозы безопасности

«Всеобъемлющая видимость зашифрованного трафика и возможность автоматизировать расширенный анализ этих данных в режиме реального времени имеют решающее значение для защиты от современных сложных угроз. Традиционные инструменты полагаются на глубокую проверку пакетов или мониторинг на основе правил, что влияет на производительность и, как доказано, уже недостаточно», — сказал Томас Пор, директор по продуктам безопасности в LiveAction. «ThreatEye NV использует новую технологию DPD, которая обеспечивает высокоточные записи потоков, которые анализируют более 150 пакетов и характеристик потоков, и все это без проверки полезной нагрузки, что может негативно сказаться на производительности. В сочетании с передовыми моделями сбора данных и машинного обучения клиенты получают самое мощное в отрасли решение NDR».

 

ThreatEye NV был разработан, чтобы помочь организациям и их группам безопасности улучшить обнаружение угроз и предотвратить успешные разрушительные и разрушительные атаки злоумышленников. Ключевые обновления платформы включают более 150 новых возможностей обнаружения, включая расширенное обнаружение аномалий поведения, обнаружение угроз зашифрованных метаданных, обнаружение угроз метаданных открытого текста, обнаружение на основе AI/ML, инвентаризацию шифрования на основе AI/ML, обнаружение DNS/DoH и Active Обнаружение эксплойтов. Платформа также предлагает непрерывный захват пакетов с поворотом к PCAP одним щелчком мыши благодаря новой интеграции зонда ThreatEye NV с LiveWire от LiveAction, которая расширяет видимость виртуальной инфраструктуры от пакета к потоку. Сочетание обнаружения угроз и анализа зашифрованного трафика с перехватом пакетов обеспечивает непревзойденную видимость для групп SecOps, стремящихся улучшить свою стратегию безопасности и возможности реагирования.

 

Основные преимущества и особенности ThreatEye NV:

 

Обнаружение угроз и аномалий в режиме реального времени — Deep Packet Dynamics (DPD) ThreatEye NV не зависит от содержимого пакетов и использует богатый набор метаданных из более чем 150 динамических функций пакетов для создания исторической инвентаризации характеристик и поведения для профилирования и снятия отпечатков пальцев. который одинаково хорошо работает как с зашифрованным, так и с незашифрованным трафиком. Модели машинного обучения применяются для выявления сложных поведенческих аномалий субъектов угроз, а платформа предназначена для обработки миллионов событий в секунду в режиме реального времени.

Устранение слепоты при шифровании и проверка соответствия требованиям. Более широкое внедрение зашифрованных сетевых протоколов приводит к ухудшению видимости сети для групп безопасности. В результате устаревшие инструменты теряют видимость. Анализ зашифрованного трафика и применение машинного обучения к DPD позволяют анализировать зашифрованный трафик без расшифровки или снижения производительности. Платформа также предоставляет оповещения и отчеты о политике шифрования для обеспечения соответствия требованиям безопасности.

Простое развертывание для защиты всей сети. ThreatEye NV — это предложение SaaS с программными датчиками, развернутыми в виде контейнерных программных приложений. Этот контейнерный подход позволяет развертывать решение локально, в частном или общедоступном облаке или в сочетании того и другого. От ядра до периферии и облака — ThreatEye NV включает легкие, простые в развертывании программные датчики, доступные для развертывания в любом месте и везде, где требуется видимость.

SOC Enabled — Благодаря конвейеру многоэтапного анализа, который сопоставляет и обогащает трафик с помощью деталей поиска, оценок риска и маркировки MITRE ATT&CK, время на расследование и реагирование значительно сокращается. Команды могут реагировать в режиме реального времени и ускорять сортировку с помощью встроенного анализа пакетов. Предложение SaaS от ThreatEye NV включает панели мониторинга с поддержкой SOC для повышения эффективности реагирования.

Координация комплексных мер безопасности — ThreatEye NV легко взаимодействует с существующими инструментами безопасности, такими как SIEM, SOAR и Threat Intelligence. Автоматизация рабочих процессов с помощью таких продуктов, как Cisco SecureX, позволяет командам немедленно реагировать на события безопасности, помещая хосты в карантин или блокируя угрозы. Интеграция с SIEM может обеспечить корреляцию с событиями EDR и вредоносной активностью на ранее невидимых зашифрованных каналах.

Анализ потокового машинного обучения. Платформа, работающая на основе механизма потокового машинного обучения, получает высокоточные метаданные, созданные ее программными зондами. Механизм машинного обучения специально создан для сетевой безопасности, и, в отличие от традиционной пакетной обработки, потоковое машинное обучение поддерживается анализаторами или моделями, разработанными для анализа сетевого трафика без многократных проходов по потоку данных. Эти модели создаются специально для конкретных сценариев использования в области безопасности и видимости и масштабируются за счет параллельной обработки.

Key benefits and features of ThreatEye NV:

• Real-Time Threat and Anomaly Detection – ThreatEye NV’s Deep Packet Dynamics (DPD) is agnostic to packet contents and uses a rich metadata set of more than 150 packet dynamic features to create a historical inventory of traits and behaviors for profiling and fingerprinting, a technique that works equally well with both encrypted and unencrypted traffic. Machine Learning models are applied to identify advanced behavioral threat actor anomalies and the platform is designed to process millions of events per second in real-time.
• Eliminate Encryption Blindness and Validate Compliance – Increased adoption of encrypted network protocols is causing the erosion of network visibility for security teams. As a result, legacy tools are losing visibility. Encrypted traffic analysis and the application of ML to DPD enables encrypted traffic analysis without decryption or performance degradation. The platform also provides encryption-policy-specific alerting and reporting for security compliance.
• Simple Deployment to Secure the Entire Network – ThreatEye NV is a SaaS offering with software sensors deployed as containerized software applications. This containerized approach allows the solution to be deployed either on-premises, in a private or public cloud, or a mixture of both. From core to edge to cloud, ThreatEye NV includes lightweight, easy-to-deploy software sensors available for deployment anywhere and everywhere visibility is needed.
• SOC Enabled – With a multi-stage analysis pipeline that correlates and enriches traffic with finding details, risk scores, and MITRE ATT&CK labeling, time to investigate and respond is dramatically decreased. Teams can respond in real-time and accelerate triage with integrated packet analysis. ThreatEye NV’s SaaS offering includes SOC-enabled dashboards to further drive response efficiency.
• Coordinate a Cohesive Security Response – ThreatEye NV interconnects seamlessly with existing security tools like SIEMs, SOAR, and Threat Intelligence. Workflow automation with products like Cisco SecureX allows teams to take immediate action on security events to quarantine hosts or block threats. SIEM integration can provide a correlation with EDR events and malicious activity on previously unseen encrypted channels.
• Streaming Machine Learning Analysis – Powered by a streaming machine learning engine, the platform ingests high-fidelity metadata generated by its software probes. The ML engine is purpose-built for network security and unlike traditional batch processing, streaming ML is fueled by analyzers – or models – engineered to analyze network traffic without multiple passes over the data stream. These models are custom-built for specific security and visibility use cases and scale via parallel processing.