9 Beste Threat Intelligence Platforms (TIP's)
ABedreigingsinformatieplatform (TIP)heeft tot doel herhaalde aanvallers te blokkeren en veelvoorkomende inbraakvectoren te identificeren. Deze opkomende technologie is een vooruitgang ten opzichte van traditionele antivirus- (AV)- en firewallsystemen. Een TIP welbescherm uw IT-apparatuur door op AI gebaseerde leerstrategieën toe te passen.
Er zijn de afgelopen jaren een aantal vervangende technologieën op de markt gekomen om de bedrijfsbescherming die traditionele malwaresystemen bieden, te verbeteren.
Antimalwareprogramma's vergelijken de code van nieuwe programma's die op een computer worden uitgevoerd met een database met eerder gedetecteerde malwaresignaturen.
Hier is onze lijst met de negen beste platforms voor bedreigingsinformatie:
- SolarWinds Security Event Manager KEUZE VAN DE REDACTIE Maakt gebruik van een logbestandanalysestrategie voor bedreigingsdetectie, gecombineerd met een extern afkomstige livefeed van bedreigingswaarschuwingen.
- ManageEngine Log360 (GRATIS PROEF) Zoekt naar bedreigingen in logbestandgegevens van Windows Server of Linux en voegt bedreigingsinformatie uit drie bronnen toe.
- CrowdStrike Falcon Intelligence (GRATIS PROEF)Een reeks beschermingsniveaus voor bedreigingsinformatie met geautomatiseerde processen en hogere opties, waaronder menselijk onderzoek en interventie.
- Datadog Threat Intelligence (GRATIS PROEF) Kant-en-klare feeds voor dreigingsinformatie die door geselecteerde dreigingsinformatiepartners worden samengesteld als een cloud-SIEM. Datafeeds worden voortdurend bijgewerkt over verdachte activiteiten zodra deze bekend en beschikbaar worden.
- UitEen systeemmonitor gemaakt voor MSP's die software-audit en log-analyse omvat.
- FireEye Helix-beveiligingsplatform Combineert een cloudgebaseerde SIEM-console voor bedreigingsdetectie, AI-leermethoden en een feed met bedreigingsinformatie.
- N-able dreigingsmonitor Een cloudgebaseerde service die op de markt wordt gebracht voor MSP's. Dit is een SIEM-tool waarmee MSP's beveiligingsmonitoring aan hun lijst met services kunnen toevoegen.
- AlienVault uniform beveiligingsbeheer Inclusief detectie van bedreigingen, respons op incidenten en delen van informatie over bedreigingen.
- LogRhythm NextGen SIEM's Inclusief de live monitoring van verkeersgegevens en de analyse van logbestandrecords.
Threat Intelligence-platforms versus traditionele antivirussoftware
In het traditionele antimalwaremodel een centraal onderzoekslaboratorium onderzoekt nieuwe bedreigingen om patronen af te leiden die deze identificeren. Deze malwaredetectiekenmerken worden vervolgens gedistribueerd naar alle geïnstalleerde AV-programma's die het bedrijf aan klanten heeft verkocht. Het lokale anti-malwaresysteem houdt een bedreigingsdatabase bij die deze lijst met aanvalssignaturen bevat die zijn afgeleid door het centrale laboratorium.
Het AV-bedreigingsdatabasemodel is niet langer effectief in het beschermen van computers. Dit komt omdat professionele teams van hackers zich nu bezighouden met productielijnen voor malware, waarbij dagelijks nieuwe bedreigingen verschijnen. Omdat het tijd kost voordat onderzoekslaboratoria een nieuw virus opmerken en vervolgens de kenmerken ervan identificeren, is de doorlooptijd voor typische AV-oplossingen nu te lang om effectieve bedrijfsbescherming te bieden.
Een bedreiging signaleren
Een dreigingsinformatieplatform omvat nog steeds een dreigingsdatabase. Maar in plaats van erop te vertrouwen dat gebruikers vreemd gedrag melden aan het hoofdkantoor van de AV-producent, zijn de nieuwe cyberbeveiligingssystemen erop gericht al het onderzoek en het herstel van bedreigingen op de apparatuur van elke klant onder controle te houden. In feite wordt elke TIP-installatie een samengestelde detectie-, analyse- en resolutiebundel. Het is niet langer nodig om de bedreigingsdatabase vanuit een centraal laboratorium bij te werken, omdat elke machine het werk van het onderzoeksteam uitvoert.
Dit gedistribueerde model voor het verzamelen van AV-gegevens is veel efficiënter in het bestrijden van ‘zero-day’-aanvallen. De term ‘zero-day’ verwijst naar nieuwe virussen die nog niet zijn geïdentificeerd door de grote AV-laboratoria ter wereld en waartegen tot nu toe geen effectieve verdediging bestaat. Elke machine werkt echter niet alleen. Informatie over ontdekte nieuwe bedreigingen wordt gedeeld tussen de gebruikers van een specifiek merk TIP.
De TIP maakt gebruik van detectieprocedures lokaal terwijl het nog steeds afhankelijk is van een bedreigingsdatabase, die wordt bijgedragen door lokale analyse en frequente downloads uit de laboratoria van de softwareleverancier. Deze downloads zijn afgeleid van de ontdekkingen van dezelfde TIP die door andere klanten op andere sites is geïnstalleerd.
De beste bedreigingsinformatieplatforms, tools en softwareleveranciers
Hoewel elke TIP een vergelijkbare reeks strategieën gebruikt om kwaadaardige gebeurtenissen te detecteren, niet alle TIP's zijn even effectief . Sommige beveiligingsleveranciers richten zich op één specifiek type apparaat en één specifiek besturingssysteem. Ze bieden mogelijk ook beveiligingssystemen voor andere soorten apparaten en besturingssystemen, maar zonder hetzelfde succesniveau als ze met hun kernproduct hebben bereikt.
Het is niet eenvoudig om een goede TIP te vinden en de claims, opschepperij en het obscure vakjargon dat op de promotiewebsites van hun producenten wordt gebruikt, maakt het zoeken naar de juiste TIP een zeer vermoeiende oefening.
Onze methodologie voor het selecteren van een platform voor bedreigingsinformatie
We hebben de markt voor detectiesystemen voor bedreigingsinformatie beoordeeld en tools geanalyseerd op basis van de volgende criteria:
- Machine Learning voor een basislijn van normale activiteit
- Detectie van afwijkende activiteiten
- Bedreigingsinformatiefeeds die detectieroutines aanpassen
- Waarschuwingen voor verdachte activiteiten om technici aan te trekken
- Het delen van ervaringen en samenvattingen van sectorbrede bedreigingsmeldingen
- Een demo of een gratis proefperiode voor een risicovrije beoordelingsmogelijkheid
- Goede prijs-kwaliteitverhouding dankzij een uitgebreide feed met bedreigingsinformatie voor een eerlijke prijs
Gelukkig hebben wij het voorwerk voor u gedaan. Met deze selectiecriteria in gedachten hebben we netwerkbeveiligingsdiensten geïdentificeerd met feeds voor bedreigingsinformatie die we graag aanbevelen.
1. SolarWinds Security Event Manager (GRATIS PROEF)
Beveiligingsgebeurtenismanager (SEM) van SolarWinds-maaidorsers bijhouden van gebeurtenissen op uw netwerk met een bedreigingsinlichtingenfeed geleverd door een externe bron. Deze tool detecteert niet alleen bedreigingen, maar activeert ook automatisch reacties om uw systeem te beschermen.
Belangrijkste kenmerken
- EEN JIJ
- Geautomatiseerde herstelacties
- Creëert een on-premises opslag van bedreigingsinformatie
- Draait op Windows Server
- Nalevingsrapportage
De kern van deze beveiligingsoplossing vindt u een loganalysetool . Dit houdt de netwerkactiviteit in de gaten, zoekt naar ongebruikelijke gebeurtenissen en houdt ook wijzigingen in essentiële bestanden bij. Het tweede element van deze TIP van SolarWinds is a raamwerk voor informatie over cyberdreigingen .
Security Event Manager werkt vanuit een database met bekende verdachte gebeurtenissen en snuffelt het netwerk af op zoek naar dergelijke gebeurtenissen. Sommige verdachte activiteiten kunnen alleen worden opgemerkt door gegevens uit afzonderlijke bronnen op uw systeem te combineren. Deze analyse kan alleen worden uitgevoerd via analyse van het gebeurtenislogboek en is dus geen realtime taak.
Hoewel SEM begint met een kant-en-klare database met dreigingskenmerken, zal de tool die verzameling dreigingsprofielen aanpassen en uitbreiden terwijl deze in gebruik is. Dit leerproces vermindert het vervelende optreden van “ valse positieven ”, wat ertoe kan leiden dat sommige diensten voor bedreigingsbescherming legitieme activiteiten stopzetten.
De loganalysator in SEM verzamelt voortdurend logrecords van incompatibele bronnen en formatteert deze opnieuw in een neurale gemeenschappelijke lay-out. Hierdoor kan de analysator zoeken patronen van activiteit over uw gehele systeem, ongeacht de configuratie, het type apparatuur of het besturingssysteem.
Pluspunten:
- Enterprise-gerichte SIEM met een breed scala aan integraties
- Eenvoudige logfiltering, u hoeft geen aangepaste querytaal te leren
- Dankzij tientallen sjablonen kunnen beheerders SEM gaan gebruiken met weinig instellingen of aanpassingen
- Historische analysetool helpt bij het vinden van afwijkend gedrag en uitschieters op het netwerk
Nadelen:
- SEM is een geavanceerd SIEM-product gebouwd voor professionals en vereist tijd om het platform volledig te leren kennen
Beveiligingsevenementmanagerinstalleert op Windows-server en SolarWinds biedt het systeem aan op a30 dagen gratis uitproberen. Deze proefperiode geeft u de tijd om de schermen voor het handmatig instellen van regels uit te proberen, waarmee u de bruikbare database met bedreigingsinformatie kunt verbeteren, zodat deze de typische activiteiten van uw site nauwkeuriger weergeeft. U kunt ook de compliancerapportagemodule volledig doornemen om ervoor te zorgen dat de SEM aan al uw rapportagebehoeften voldoet.
BEWERKERS KEUZE
SolarWinds Beveiligingsevenementmanageris onze eerste keuze. Perfect voor het detecteren van bedreigingen en het activeren van geautomatiseerde reacties op deze bedreigingen. De rapportage is van topklasse en het dashboard is gemakkelijk te navigeren.
Gratis proefperiode van 30 dagen starten:solarwinds.com/security-event-manager
JIJ:Windows 10 en hoger, Windows Server 2012 en hoger, Cloudgebaseerd: Hypervisor, AWS en MS Azure
2. ManageEngine Log360 (GRATIS PROEF)
Beheer het motorlog360is een zeer uitgebreide TIP die alle mogelijke bronnen van loggegevens onderzoekt om de systeembeveiliging te verbeteren.
ManageEngine biedt al een reeks tools voor logbeheer en analyse. Het bedrijf besloot ze echter te bundelen in een gecombineerde module die alle mogelijke op bestanden gebaseerde bronnen van systeeminformatie omvat. IT integreert ook externe informatiebronnen zoals STIX/TAXII -gebaseerde feeds op IP-adressen op de zwarte lijst.
Belangrijkste kenmerken
- Logbeheer en analyse
- Ontvangst voor STIX/TAXII-dreigingsinformatiefeeds
- Beschermt Active Directory
- Draait op Windows Server
Evenals het controleren Gebeurtenislogboeken , integreert de tool de informatie die aanwezig is in Actieve map . Dit helpt de detectie-engine van deze tool om te controleren wie de rechten heeft om toegang te krijgen tot de bronnen die worden gebruikt in de activiteiten die berichten registreren. De tool houdt wijzigingen in Active Directory in de gaten om ervoor te zorgen dat indringers zichzelf geen toegangsrechten kunnen verlenen.
Het bereik van deze beveiligingstool strekt zich uit tot het internet, omdat het ook auditrapporten verzamelt AWS , Azuur , En Online uitwisselen .
U weet dat Exchange, Azure, Event Logs en Active Directory allemaal Microsoft-producten zijn. Log360 is echter niet beperkt tot het monitoren van Windows-gebaseerde systemen. Het verzamelt ook logberichten die zijn gegenereerd Linux En Unix systemen, zoals Syslog-berichten. De tool onderzoekt alle IIS- en Apache Web Server-berichten en omvat ook berichten die worden gegenereerd door Orakel databases.
Uw netwerkhardware en perimeterbeveiligingssystemen hebben ook belangrijke informatie om te delen en daarom luistert Log360 naar logberichten die optreden bij firewalls, routers en switches. Als u andere inbraakdetectie- en beveiligingssystemen heeft geïnstalleerd, zal Log360 hun bevindingen integreren in de samenvattingen van de bedreigingsinformatie.
Log360 maakt geen logboeken over logboeken, die u mogelijk over het hoofd ziet. Het systeem creëert realtime waarschuwingen over bedreigingsinformatie , zodat uw team op de hoogte wordt gesteld zodra er verdachte activiteit wordt gedetecteerd. Naast monitoring voert het Log360-pakket regelmatig audits, samenvattingen en rapporten uit over de beveiliging van uw gehele IT-systeem.
Pluspunten:
- Geweldige dashboardvisualisaties, ideaal voor NOC’s en MSP’s
- Kan meerdere gegevensstromen over bedreigingen in het platform integreren
- Biedt robuust zoeken in logboeken voor analyse van live en historische gebeurtenissen
- Biedt monitoring op meerdere platforms voor Windows-, Linux- en Unix-systemen
- Kan configuratiewijzigingen monitoren en escalatie van bevoegdheden voorkomen
Nadelen:
- ManageEngine biedt een reeks geavanceerde services en functies die u kunt verkennen en uitproberen
U kunt Log360-software installeren ramen En Windows-server . ManageEngine-aanbiedingeneen gratis proefperiode van 30 dagenvan deProfessionele EditieEr is eenGratis editiedat is beperkt tot het verzamelen van loggegevens uit slechts vijf bronnen. Als u andere wensen heeft, kan datprijs besprekenvoor een pakket dat bij uw wensen past.
ManageEngine Log360 Download GRATIS proefversie van 30 dagen
3. CrowdStrike Falcon Intelligence (GRATIS PROEF)
CrowdStrikegemaakt een cyberbeveiligingsplatform genaamd Falcon . Dit richt zich op eindpuntbescherming. Een van de producten die het bedrijf op zijn Falcon-platform heeft gebouwd, isCrowdStrike Falcon-inlichtingendienst. Dit is een dreigingsinformatiedienst die de meeste verwerkingsvereisten baseert op de CrowdStrike-server in de cloud.
Belangrijkste kenmerken
- Plannen voor bedreigingsinformatie
- Beschikbaar als rapport of als feed
- Inbegrepen in een bundel met andere beveiligingstools
De innovatieve architectuur van het Falcon-platform vereist een klein agentprogramma op elk beveiligd apparaat worden geïnstalleerd. Het merendeel van het werk wordt in de cloud uitgevoerd, zodat uw bescherming tegen bedreigingen uw beschermde eindpunten niet zal vertragen.
Het basisplan van Falcon Intelligence omvat geautomatiseerde processen . Het volgende plan wordt opgeroepen Falcon Intelligence Premium en dat omvat een dagelijks bruikbaar inlichtingenrapport en op maat gemaakte internetonderzoeken die specifiek zoeken naar de naam, het merk of de vermeldingen van werknemers van uw bedrijf op sociale media of plaksites. Alle gestolen wachtwoorden die te koop worden aangeboden of die publiekelijk zijn gelekt, worden bij deze zoekopdracht bijvoorbeeld opgepikt.
Het hoogste plan wordt opgeroepen Falcon Intelligentie Elite . Elke klant van dit plan krijgt een Intel-analist toegewezen. Deze service is geweldig voor bedrijven die alles willen uitbesteden en een beheerde oplossing voor bedreigingsinformatie willen krijgen in plaats van alleen geautomatiseerde tools voor bescherming.
Alle Falcon Intelligence-abonnementen omvatten de Indicatoren van compromis (IOC’s) rapport. Hierdoor worden de bedreigingen die op uw systeem worden geïdentificeerd in een mondiale context geplaatst. Het IOC laat zien waar de malware of aanvallen die u ervaart vandaan komen en of het bekend is dat dezelfde hackergroepen andere methoden gebruiken om bedrijfssystemen aan te vallen. Deze relatie tussen bekende vectoren waarschuwt het geabonneerde bedrijf voor mogelijke toekomstige bedreigingen.
De agenten die op elk eindpunt werken, scannen alle activiteiten op het apparaat en uploaden verdachte bestanden naar de CrowdStrike-server voor analyse. Er bestaat geen menselijke tussenkomst nodig in dit proces. De systeembeheerder ontvangt echter wel feedback over gedetecteerde bedreigingen en de acties die zijn ondernomen om deze te sluiten.
Pluspunten:
- Vertrouwt niet alleen op logbestanden voor de detectie van bedreigingen, maar maakt gebruik van processcans om bedreigingen meteen te vinden
- Fungeert als een HIDS- en eindpuntbeveiligingstool in één
- Kan afwijkend gedrag in de loop van de tijd volgen en waarschuwen, en verbetert naarmate het netwerk langer wordt bewaakt
- Kan zowel op locatie als rechtstreeks in een cloudgebaseerde architectuur worden geïnstalleerd
- Lichtgewicht agenten vertragen servers of apparaten van eindgebruikers niet
Nadelen:
- Zou baat hebben bij een langere proefperiode
CrowdStrike biedt een gratis proefperiode van 15 dagen voor Falcon Intelligence.
CrowdStrike Falcon Intelligence Start een GRATIS proefperiode van 15 dagen
4. Datadog Threat Intelligence (GRATIS PROEF)
Datadog-dreigingsinformatie wordt aangeboden vanuit de Datadog-cloud SaaS-platform inclusief een reeks abonnementsdiensten voor systeemmonitoring. Het systeem vereist dat agenten op de bewaakte netwerken worden geïnstalleerd en het kan ook cloudbronnen bevatten met de activering van een integratie.
De Datahond agenten kan in combinatie ook optreden als dataverzamelaar voor andere Datadog-diensten. Deze lokale agenten uploaden logberichten en andere systeemgegevens naar de Datadog-server waar de jacht op bedreigingen plaatsvindt.
Belangrijkste kenmerken
- SIEM-systeem
- Centraliseert de beveiliging voor verschillende locaties
- Maakt gebruik van UEBA
Het UEBA-systeem in Datadog Threat Intelligence is een gedragsanalyse van gebruikers en entiteiten systeem. Dit is een AI-gebaseerd systeem dat machine learning gebruikt om een basislijn van normale activiteit vast te stellen. Afwijkingen van dat patroon wijzen op activiteiten die nader onderzoek vereisen.
De bedreigingsjager zoekt naar gedragspatronen, die worden opgeroepen Indicatoren van compromis (IoC's). De IoC-database is afgeleid van de ervaringen van alle klanten van Datadog, waardoor een pool van bedreigingsinformatie ontstaat.
Datadog gebruikt een methode genaamd ZWEVEN om te communiceren met pakketten van andere aanbieders. Dit staat voor beveiligingsorkestratie, automatisering en respons . Het betekent dat de agenten bedrijfsgegevens kunnen verzamelen van systemen zoals toegangsrechtenbeheerders, switches en firewalls. In de andere richting kan de server instructies naar die belangrijke netwerkapparaten sturen om indringers af te sluiten of malware te doden.
De SOAR- en UEBA-functies van Datadog Threat Intelligence zorgen ervoor dat u niet uw gehele huidige beveiligingsconfiguratie volledig hoeft weg te gooien. Het Datadog-systeem komt bovenop uw bestaande services en voegt hun beschermende mogelijkheden toe.
Datadog-dreigingsinformatie omvat extra diensten die interessant kunnen zijn voor ontwikkelaars en DevOps-afdelingen. Deze omvatten een codeprofiler en continue testsystemen voor CI/CD-pijplijnen.
Pluspunten:
- Integreert met andere Datadog-services
- Implementeert SIEM
- Centraliseert de monitoring van veel sites en cloudbronnen
- Webgebaseerde console
Nadelen:
- De beveiligde systemen vereisen een constante internetbeschikbaarheid
Datadog Threat Intelligence is dat, net als alle Datadog-eenheden, wel een abonnementsdienst . U betaalt een tarief per maand voor elke GB loggegevens die door de dienst worden verwerkt. Datadog biedt al zijn modules een gratis proefperiode van 14 dagen aan.
Datadog Threat Intelligence Start een GRATIS proefperiode van 14 dagen
5. Haal het eruit
Uit is een ondersteuningsplatform gebouwd voor Managed Service Providers (MSP's) . Het is geleverd vanuit de cloud , zodat de MSP geen software op zijn locatie hoeft te installeren en zelfs geen grote IT-infrastructuur hoeft te beheren. Het enige dat nodig is, is een computer met een internetverbinding en een webbrowser. Op het bewaakte systeem is echter wel speciale software nodig. Dit is een agentprogramma dat gegevens verzamelt en communiceert met de Atera-servers.
Belangrijkste kenmerken
- Ontworpen voor MSP's
- Combineert RMM en PSA
- Bewaak systemen op afstand
Omdat het een externe service is, kan Atera elke klantfaciliteit monitoren, ook in de cloud AWS En Azuur servers. De service omvat een autodiscovery-proces, waarbij alle apparatuur die op het netwerk is aangesloten, wordt geregistreerd. Voor endpoints en servers scant het monitoringsysteem alle software, waardoor een inventarisatie wordt gemaakt. Dit is een essentiële informatiebron voor het beheer van softwarelicenties en tevens een belangrijke dienst voor bescherming tegen bedreigingen. Nadat de software-inventaris is samengesteld, kan de operator controleren welke ongeautoriseerde software op elk apparaat is geïnstalleerd en deze vervolgens verwijderen.
De servermonitor controleert processen als onderdeel van zijn reguliere taken en dit zal de aanwezigheid van kwaadaardige software aan het licht brengen. De operator kan op afstand toegang krijgen tot de server en ongewenste processen beëindigen.
Atera bewaakt de toegangsrechtenbeheerders op de locatie van de klant, inclusief Actieve map . De Live Manager-tool in het Atera-pakket geeft toegang tot Windows-evenement registreert en biedt een doorzoekbare bron van mogelijke beveiligingsinbreuken.
Nog een dienst voor bedreigingsbescherming in het Atera-pakket is het patch-manager . Hierdoor worden besturingssystemen en belangrijke applicatiesoftware automatisch bijgewerkt zodra deze beschikbaar komen. Deze belangrijke service zorgt ervoor dat eventuele exploitoplossingen van softwareleveranciers zo snel mogelijk worden geïnstalleerd.
Pluspunten:
- 30 dagen gratis uitproberen
- Continu netwerkscannen maakt inventarisatie eenvoudig en nauwkeurig
- Ingebouwd ticketingsysteem, ideaal voor MSP's die bedreigingen op locatie willen afhandelen
- Prijzen zijn gebaseerd op het aantal technici, niet op ondersteunde gebruikers
Nadelen:
- Zou kunnen profiteren van meer integraties met andere hulpprogramma's voor externe toegang en Azure AD
Atera wordt in rekening gebracht via een abonnement met het vastgestelde tarief per technicus . Kopers kunnen kiezen tussen een maandelijks betalingsplan of een jaarlijks tarief. De jaarlijkse betaaltermijn komt goedkoper uit. U heeft toegang tot een gratis proefperiode om Atera op de proef te stellen.
6. FireEye Helix-beveiligingsplatform
FireEye Helix-beveiligingsplatform is een cloudgebaseerd gemengd beveiligingssysteem voor netwerken en eindpunten. De tool omvat een SIEM-aanpak die netwerkactiviteit monitort en ook logbestanden beheert en doorzoekt. De bedreigingsinformatiefeeds geleverd door FireEyes completeert deze veelzijdige oplossing door een bijgewerkte bedreigingsdatabase voor uw monitoringsysteem te bieden.
Belangrijkste kenmerken
- SaaS-pakket
- Update de bedreigingsdatabase voortdurend
- Herstelworkflows
FireEyes is een vooraanstaand cyberbeveiligingsbedrijf en gebruikt zijn expertise om informatiediensten over dreigingen te leveren op een abonnement basis. Het formaat en de diepgang van die intelligentie zijn afhankelijk van het door de klant gekozen plan. FireEyes biedt branchebrede waarschuwingen over nieuwe bedreigingsvectoren, waardoor infrastructuurbeheerders hun verdediging kunnen plannen. Het biedt ook een feed met informatie over bedreigingen, die zich rechtstreeks vertaalt in regels voor detectie en oplossing van bedreigingen in het Helix Security Platform.
Het Helix-pakket bevat ook “ speelboeken ”, dit zijn geautomatiseerde workflows die het herstel van bedreigingen uitvoeren zodra een probleem is gedetecteerd. Deze oplossingen omvatten soms advies over veilige praktijken en huishoudelijke acties, evenals geautomatiseerde reacties.
Pluspunten:
- Geweldige interface, het donkere thema is geweldig voor langetermijnmonitoring in NOC's
- Het abonnementsmodel houdt uw database up-to-date met de meest recente bedreigingen en slechte actoren
- Biedt inzichten voor herstel- en preventieve acties op basis van recente gebeurtenissen
- Playbooks bieden herstelworkflows om problemen automatisch op te lossen
Nadelen:
- Configuratie kan een uitdaging zijn
- Rapportage kan omslachtig en moeilijk aan te passen zijn
7. N-able dreigingsmonitor
DeBedreigingsmonitoris een product van N-bekwaam dat software en diensten levert ter ondersteuning van managed service providers. MSP's bieden regelmatig netwerk- en IT-infrastructuurbeheerdiensten aan en daarom is de toevoeging van beveiligingsmonitoring een natuurlijk verlengstuk van de reguliere activiteiten van dergelijke MSP's.
Belangrijkste kenmerken
- Een SIEM gebouwd voor MSP's
- Cloudgebaseerd
- Logboekbeheer
Dit is een beveiligingsinformatie en evenementenbeheer (SIEM) systeem. Een SIEM kijkt zowel naar live-activiteit op het bewaakte systeem als doorzoekt systeemlogboeken om sporen van kwaadaardige activiteiten te detecteren. De dienst kan de on-site systemen van de klanten van de MSP en ook die van andere klanten monitoren Azuur of AWS server die de client gebruikt.
De voordelen van de N-able Threat Intelligence-monitor liggen in het vermogen om informatie te verzamelen van elk punt van het netwerk en de apparaten die erop zijn aangesloten. Dit geeft een uitgebreider beeld van aanvallen dan één verzamelpunt. Bedreigingen worden geïdentificeerd aan de hand van gedragspatronen en ook aan de hand van de centrale SolarWinds Threat Intelligence-database, die voortdurend wordt bijgewerkt. De database met bedreigingsinformatie is samengesteld uit verslagen van gebeurtenissen die over de hele wereld plaatsvinden. Het kan dus onmiddellijk opmerken wanneer hackers wereldwijde aanvallen lanceren of dezelfde trucs tegen veel verschillende slachtoffers proberen.
De alarmniveaus van de dienst kunnen door de MSP-operator worden aangepast. Het dashboard voor het systeem bevat visualisaties voor evenementen , zoals wijzerplaten en grafieken, maar ook live lijsten met cheques en gebeurtenissen. De dienst wordt geleverd vanuit de cloud en dat is ook zo toegankelijk via elke webbrowser . N-able Threat Intelligence is een abonnementsservice, dus volledig schaalbaar en geschikt voor gebruik door MSP's van elke omvang.
Pluspunten:
- Ontworpen met MSP's en resellers in gedachten
- Kan logboeken scannen en ophalen uit de cloud en hybride cloudomgevingen
- Er kunnen verschillende alarmniveaus worden geconfigureerd, ideaal voor grote helpdesks
- Toegankelijk vanuit elke browser
Nadelen:
- Functionaliteit voor Mac is niet zo robuust als Windows
- Zou graag een meer gestroomlijnd proces willen voor het onboarden van nieuwe klanten
8. AlienVault Unified Beveiligingsbeheer
AlienVault Unified Beveiligingsbeheer (USM) is een product van AT&T-cyberbeveiliging , dat in 2018 het merk AlienVault verwierf. AlienVault USM is voortgekomen uit een open-sourceproject genaamd OSSIM , wat staat voor ‘open source security information management’. OSSIM is nog steeds gratis beschikbaar, terwijl AlienVault USM ernaast draait als een commercieel product.
Belangrijkste kenmerken
- Open bedreigingsuitwisseling
- Cloudgebaseerde SIEM
- Op jacht naar bedreigingen met AI-processen
OSSIM is eigenlijk een verkeerde benaming omdat het systeem een volledige SIEM is, inclusief monitoring van logberichtanalyse en realtime onderzoek van netwerkverkeer. AlienVault USM bevat ook beide elementen. AlienVault heeft een aantal extra functies die niet beschikbaar zijn in OSSIM, zoals logconsolidatie, opslagbeheer van logbestanden en archivering. AlienVault USM is een cloudgebaseerde abonnementsservice dat hoort erbij volledige telefonische en e-mailondersteuning , terwijl OSSIM beschikbaar is om te downloaden en voor ondersteuning afhankelijk is van communityforums.
Een belangrijk voordeel dat beschikbaar is voor de gebruikers van zowel de gratis als de betaalde beveiligingsproducten is toegang tot de Open bedreigingsuitwisseling (OTX) . Dit is 's werelds grootste crowd-aangeleverde platform voor bedreigingsinformatie. Informatie die beschikbaar wordt gesteld op de OTX kan automatisch worden gedownload naar AlienVault USM om een up-to-date bedreigingsdatabase te leveren. Dit biedt de detectieregels en oplossingsworkflows die de SIEM nodig heeft. Toegang tot OTX is gratis voor iedereen.
Pluspunten:
- Beschikbaar voor Mac en Windows
- Kan logbestanden scannen en kwetsbaarheidsbeoordelingsrapporten leveren op basis van apparaten en applicaties die op het netwerk zijn gescand
- Door de gebruiker aangedreven portal stelt klanten in staat hun dreigingsgegevens te delen om het systeem te verbeteren
- Maakt gebruik van kunstmatige intelligentie om beheerders te helpen bij het opsporen van bedreigingen
Nadelen:
- Logboeken kunnen moeilijk te doorzoeken en te analyseren zijn
- Zou graag meer integratiemogelijkheden zien in andere beveiligingssystemen
9. LogRhythm NextGen SIEM
LogRhythm noemt het zijn Volgende generatie SIEM als een raamwerk voor bedreigingslevenscyclusbeheer (TLM). . Het platform ondersteunt twee LogRhythm-producten, namelijk de Enterprise- en XM-reeksen. Beide producten zijn verkrijgbaar als apparaat of als software. LogRhythm Enterprise is gericht op zeer grote organisaties, waarbij LogRhythm XM kleine en middelgrote bedrijven bedient.
Belangrijkste kenmerken
- SIEM
- Logboekbeheer
- Nalevingsrapportage
SIEM staat voor Informatiebeheer van beveiligingsgebeurtenissen . Deze compacte strategie combineert twee activiteiten: Security Information Management (SIM) en Security Event Management (SEM). SEM monitort het verkeer in realtime en zoekt naar aanvalspatronen die zijn opgeslagen in een bedreigingsdatabase. SIM verwijst ook naar de bedreigingsdatabase, maar vergelijkt gebeurtenissen die zijn vastgelegd in logbestanden met de patronen die zijn vastgelegd in de regels voor bedreigingsdetectie.
De software voor de NextGen SIEM kan worden geïnstalleerd ramen , Linux , of Unix . Het is ook mogelijk om uw bedreigingsbeheersysteem volledig onafhankelijk van uw hardware te houden door het systeem te kopen als een apparaat dat verbinding maakt met uw netwerk.
Pluspunten:
- Maakt gebruik van eenvoudige wizards om het verzamelen van logboeken en andere beveiligingstaken in te stellen, waardoor het een meer beginnersvriendelijke tool is
- Strakke interface, zeer aanpasbaar en visueel aantrekkelijk
- Maakt gebruik van kunstmatige intelligentie en machinaal leren voor gedragsanalyse
Nadelen:
- Zou graag een proefoptie zien
- Platformonafhankelijke ondersteuning zou een welkome functie zijn
Een leverancier van een Threat Intelligence Platform kiezen
De cybersecuritysector is momenteel zeer levendig. De groei van het aantal inbraakdreigingen, die het altijd aanwezige risico van malware vergroot, heeft de industrie gedwongen haar benadering van systeembescherming volledig te heroverwegen. Deze situatie heeft ertoe geleid dat grote AV-producenten grote sommen geld hebben geïnvesteerd innovatieve AI-technieken en nieuwe strategieën om hackers en cyberterroristen te bestrijden.
Nieuwe spelers op de markt zetten de reputatie van gevestigde cybersecurityaanbieders extra onder druk en houden deze in stand het verleggen van de grenzen van de cyberbeveiligingstechnologie . Platforms voor bedreigingsinformatie spelen een belangrijke rol in de strijd voor cyberbeveiliging, naast SIEM's en systemen voor inbraakpreventie.
Hoewel er voortdurend nieuwe TIP's verschijnen, hebben we er vertrouwen in dat de aanbevolen platforms voor informatie over bedreigingen op onze lijst voorop zullen blijven lopen. De reden hiervoor is dat de bedrijven die deze systemen leveren, jarenlange ervaring op dit gebied hebben en hebben laten zien dat ze bereid zijn te innoveren om bedreigingen een stap voor te blijven.
Veelgestelde vragen over bedreigingsinformatieplatforms
Wat is het verschil tussen dreigingsinformatie en dreigingsjacht?
Bedreigingsjacht is het proces van het zoeken naar indicatoren van compromissen (IOC's). Bedreigingsinformatie is een lijst met IOC’s waar u op moet letten. Een deel van de informatie over bedreigingen is ingebouwd in de meeste modules voor het opsporen van bedreigingen. Dit zijn de fundamentele gebeurtenissen waar u op moet letten, zoals buitensporige en snel mislukte inlogpogingen die wijzen op een brute force-aanval. Andere bedreigingsinformatie is nieuwe informatie die een nieuwe aanvalsstrategie identificeert die hackers nog maar net zijn gaan gebruiken. Een feed met bedreigingsinformatie geeft het nieuws over een zero-day-aanval door aan andere abonnees, zodat zodra één gebruiker in de pool die aanval ontdekt, alle andere klanten hiervan op de hoogte zijn en hun module voor het zoeken naar bedreigingen ernaar kan zoeken.
Hoe omschrijf je de verschillen tussen dreigingsinformatie en SIEM?
SIEM-systemen zoeken in logberichten naar indicatoren van compromissen (IOC's). Bedreigingsinformatie biedt een lijst met IOC's waar u op moet letten. NextGen SIEM's bieden toegang tot een live feed met bedreigingsinformatie die actuele IOC's biedt.
Kunnen bedreigingsinformatieplatforms kwaadaardige domeinen tegenhouden?
Een platform voor bedreigingsinformatie bevat een opgemaakte lijst met potentiële aanvallen. Dit omvat IP-adressen en domeinen waarvan bekend is dat ze door kwaadwillende actoren worden gebruikt.