В Гарда Монитор расширили возможности реагирования на инциденты для SOC

Екатерина Быстрова 10 Ноября 2021 - 17:04

Системы анализа трафика (NTA)

Системы реагирования и управления инцидентами (IRP)

...

В Гарда Монитор расширили возможности реагирования на инциденты для SOC

В ноябре 2021 года российский вендор ИБ-решений «Гарда Технологии» (входит в «ИКС Холдинг») обновил и расширил функциональные возможности сетевого анализа, детектирования и расследования сетевых инцидентов NTA-системы «Гарда Монитор» с помощью внедрения технологии вызова пользовательских скриптов.

«Гарда Монитор» собирает и записывает данные обо всех ip-соединениях, выявляет различные признаки вредоносных программ и подозрительной активности в сетевом трафике. Решение позволяет обнаружить даже те инциденты в сети, которые прошли мимо других систем безопасности.

Комплекс нередко используют крупные предприятиям как «систему последнего шанса», когда инцидент произошел вопреки всем действующим системам безопасности, и нужно восстановить ход событий, чтобы понять, что произошло, как и почему, и что сделать, чтобы инциденты не повторялись.

«Гарда Монитор» анализирует сетевой трафик, использует сочетание сигнатурного анализа и машинного обучения для обнаружения атак, подозрительной активности в корпоративной сети и расследования сетевых инцидентов. В новой версии добавлена поддержка сигнатур в формате Suricata 6.

Решение анализирует поведение сетевых приложений и трафика, показывая связи по протоколам. «Гарда Монитор» детектирует более 250 протоколов, включая протоколы удаленного управления (TeamViewer, RDP и др.), протоколы туннелирования трафика (OpenVPN, CiscoVPN и др.), протоколы сетевых игр (Warcraft, Battlefield и др.), а также мессенджеры, соцсети и TOR.

Помимо привычного экспорта информации об инциденте в SIEM и уведомления на почту появилась возможность реагирования на инциденты с помощью python-скриптов. Это делает возможным интеграцию «Гарды Монитор» с любыми внешними системами, например, с IRP-системой TheHive.

Еще одно существенное новшество «Гарды Монитор» — блокировка сетевых соединений на маршрутизаторах под управлением ОС Cisco Nexus, что позволяет блокировать нежелательные подключения, например, к командным центрам бот-сетей из внутренней сети.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 22 Января 2025 - 21:20

Утечки информации Инсайдеры Малый и средний бизнес Корпорации

Хакеры ищут инсайдеров среди российских разработчиков

По данным Ассоциации разработчиков программных продуктов «Отечественный софт», после введения запрета на использование зарубежных средств защиты злоумышленники начали пытаться получать информацию об уязвимостях в российских системах через инсайдеров.

С 1 января 2025 года в России вступил в силу запрет на использование зарубежных средств защиты в государственных структурах и ряде компаний. Эти меры были установлены двумя президентскими указами.

Запрет охватывает органы государственной власти всех уровней, госкомпании, системообразующие организации и объекты критической информационной инфраструктуры (КИИ). В общей сложности ограничения касаются более 500 тысяч предприятий и организаций.

Специалисты АРПП «Отечественный софт» сообщили ТАСС о росте числа попыток злоумышленников использовать инсайдеров среди российских разработчиков:

«Злоумышленники адаптируются к процессу импортозамещения. Уже зафиксированы попытки хакерских групп привлечь российских разработчиков для поиска уязвимостей в отечественных системах защиты».

Опрошенные ТАСС эксперты отметили, что замещение средств защиты информации прошло успешно, однако в ПО, использующемся в критической инфраструктуре, возникли определенные сложности.

В Гарда Монитор расширили возможности реагирования на инциденты для SOC

Читайте также