Bedrohungssuche und Analyse

Vectra startet Cognito Stream zur Unterstützung von Bedrohungsjägern

Vectra startet Cognito Stream zur Unterstützung von Bedrohungsjägern

Netzwerk-Metadaten aus Unternehmensumgebungen im Zeek-Format

Vectra, der führende Anbieter in der Erkennung und Reaktion auf Cyberangriffe , gibt die Verfügbarkeit von Cognito® Stream™ bekannt. Der neue Service liefert Netzwerk-Metadaten aus Unternehmensumgebungen im Zeek-Format, die mit Sicherheitsinformationen angereichert sind, um Fachkräfte bei der Bedrohungssuche und der Analyse von Security-Vorfällen zu unterstützen. Cognito Stream ergänzt Metadaten um die Host-Identität, sodass Analysten Sicherheitsvorfälle wesentlich effizienter untersuchen können, indem ihnen der gesamte Kontext zu den Ereignissen in der Netzwerkkommunikation zwischen Cloud- und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräten zur Verfügung steht.

„Sicherheitsanalysten sollten nicht auch Netzwerkexperten sein müssen, um Bedrohungen komplett untersuchen zu können. Die Suche nach NetFlow-Daten, denen es an Details mangelt, oder nach Paketdaten, die zu komplex sind und deren Speicherung zu teuer ist, muss auf der Grundlage der IP-Adresse erfolgen, was für Sicherheitsanalysten nicht intuitiv ist und eine zusätzliche Korrelation mit separaten DHCP-Protokollen erfordert“, erklärt Eric Ogren, Senior Security Analyst bei 451 Research. „Um umfassenden Einblick ins Netzwerk zu haben, Eindringlinge erkennen und entsprechend reagieren zu können, muss leistungsfähige Intelligence genutzt werden, indem Daten zum Netzwerkverkehr korreliert und den Sicherheitsanalysten aussagekräftige Erkenntnisse geliefert werden.“

Cognito Stream liefert Data Lakes die Metadaten aus Netzwerkumgebungen von Unternehmen ohne die Komplexität, die Limitierung und ohne den Anpassungsbedarf der Open-Source-Lösung Zeek

Cognito Stream bietet eine Transaktionsaufzeichnung jeder Netzwerkkommunikation innerhalb einer Organisation an ein Enterprise-scale Data Lake oder SIEM-System (Security Information and Event Management). Cognito Stream ergänzt Metadaten mit der Host-Identität, um parallele Suchen in DHCP-Protokollen zu vermeiden und ein Gerät mit einer IP-Adresse zu bestimmten Zeiten zu finden sowie um Änderungen von IP-Adressen zu verfolgen. Durch das Sammeln und Weiterleiten historischer Metadaten anstelle der vollständigen Paketerfassung reduziert Cognito Stream den Speicherbedarf um über 99 Prozent und stellt die Einhaltung von Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung (DSGVO) sicher.

„Ich empfehle Cognito Stream zu testen, wenn Unternehmen bereits in einen eigenen Data Lake investiert haben“, erklärt Dan Basile, Executive Director of Security Operations bei The Texas A&M University System. „Der Kontext ist immer wichtig, wenn man nach Bedrohungen sucht. Die Fähigkeit angereicherte Metadaten mit anderen Datenquellen zu korrelieren und dann Bedrohungen auf Grundlage hochwertiger IoCs (Indicator of Compromise) zu suchen, kann den Aufwand für die Sicherheitsexperten deutlich senken und die Reaktionszeiten spürbar verkürzen.“

Funktionalitäten

Nutzbare Netzwerk-Metadaten im Zeek-Format

Cognito Stream extrahiert Hunderte von Metadatenattributen aus dem Netzwerkverkehr und präsentiert sie in einem kompakten, leicht verständlichen Zeek-Format. Cognito Stream liefert im Vergleich zu NetFlow die Details, die Analysten benötigen, und ohne die Komplexität der vollständigen Paketerfassung.

Eingebettete Sicherheitsinformationen

Durch maschinelles Lernen generierte Erkenntnisse sind in die Cognito Stream-Metadaten eingebettet, und liefern nützliche Informationen, die Sicherheitsanalysten mit ihrem individuellen Fachwissen kombinieren können, um somit rasche Schlussfolgerungen ziehen zu können.

Untersuchung von Hosts statt IP-Adressen

Cognito Stream verknüpft Netzwerk-Metadaten automatisch mit anderen Attributen, um eine eindeutige Host-Identität zu ermitteln. Die Benutzerzuordnung ermöglicht es Sicherheitsanalysten, Hosts unabhängig von Änderungen der IP-Adresse effizient zu untersuchen und Beziehungen zwischen Gruppen von Hosts zu analysieren.

Set and forget – Einfache Nutzung

Cognito Stream lässt sich in weniger als 30 Minuten einrichten, erfordert keine Leistungsanpassung oder laufende Wartung und liefert mehr als die fünffache Einzelsensorperformance von Zeek. Sicherheitsteams sparen sich den Verwaltungsaufwand für die Open-Source-Lösung Zeek und können sich auf Untersuchungen konzentrieren.

Netzwerk-Metadaten bieten IT-Security-Analysten eine erstklassige Sicht auf Muster und Ereignisse, wie sie im gesamten Netzwerk auftreten. Host- und Anwendungsdaten liefern detaillierte Low-Level-Daten zu Verhaltensweisen auf Host-Ebene, einschließlich Systemprozessen und Speicherzugriff. Zusammen ermöglichen diese Datensätze eine umfassende Kartierung des Unternehmens, und liefert somit einen mehrstufigen Überblick, was als nächstes passieren könnte. Diese Informationen können von den Bedrohungsjägern auf effektive Weise kombiniert verwendet werden, um fortschrittliche Bedrohungen zu erkennen.

„Cognito Stream liefert umfassende Metadaten und bietet so mehr wichtige Zusatzinformationen als Zeek. Zugleich aber bietet Cognito Stream volle Kompatibilität mit allen verfügbaren Zeek-Werkzeugen“, erläutert Rohan Chitradurga, Director Product Management bei Vectra. „Damit erfüllen wir die Anforderungen nach den schnellen und einfachen Suche nach Bedrohungen in großen Unternehmensnetzwerken. Dabei steigt jedoch nicht der Aufwand für die Sicherheitsexperten, der sonst beim Management einer Sensor-Infrastruktur entsteht.“