Гарда ускоряет анализ угроз и снижает нагрузку на ИБ-аналитиков

Обновление «Гарда NDR» помогает российским компаниям быстрее выявлять и устранять киберугрозы, снижать нагрузку на аналитиков и повышать эффективность работы центров информационной безопасности. Новые инструменты автоматизации и визуализации усиливают контроль над сетевой безопасностью, сокращают время реагирования на атаки и повышают устойчивость бизнеса к киберрискам.

Для ускорения первичного анализа и принятия решений по устранению угроз в новой версии «Гарда NDR» усовершенствовали интерфейс – появились разделы «Инциденты» и «Дашборды». Карточки инцидентов содержат данные о классификаторах MITRE*, количестве уникальных событий и хостов по каждой ИБ-политике, теперь в них предлагаются и рекомендации по реагированию.

Аналитические функции в «Гарда NDR» стала удобнее благодаря фильтрации инцидентов по матрице MITRE ATT&CK. Система позволяет применять детектирующую логику и фильтровать инциденты по тактикам, техникам и подтехникам, а также по IP-адресам и группам активов. Такой подход помогает командам центров информационной безопасности (SOC) точнее формулировать гипотезы и быстрее выявлять признаки сложных атак типа «горизонтального перемещения» с использованием легальных инструментов (Living off the Land). Новые фильтры упрощают поиск угроз, снижают трудозатраты аналитиков и сокращают время реагирования.

Расширенные возможности ретроспективного поиска по полезной нагрузке (payload) во всем сетевом трафике позволяют быстро находить нужные его фрагменты. Поддержка управляющих последовательностей аналогично wireshark и работа с символами прямо из слепка трафика делают расследования гибкими и наглядными. Аналитики могут в одно нажатие добавить детально отображаемый аналогично wireshark в интерфейсе payload в поисковый запрос без необходимости перехода во внешние среды, что ускоряет поиск первопричины инцидента и формирование отчета.

Добавлена функция декодирования команд протокола идентификации Kerberos. Теперь атаки kerberoasting фиксируются без использования сигнатур. Новая версия «Гарда NDR» анализирует трафик Kerberos для TCP и UDP, позволяя строить виджеты и фильтры по параметрам протокола.

Точность машинного анализа также выросла: улучшенные ML-модели теперь эффективнее определяют аномалии и снижают количество ложных срабатываний. Дополнительно реализована возможность массового изменения политик и мониторинг сетевых метрик – application и network delay, что помогает точнее оценивать качество связи и реагировать на сетевые сбои.

«Мы стремимся к тому, чтобы аналитики получали максимум информации без лишних действий. В версии 4.3 мы сосредоточились на автоматизации работы аналитика, расширении возможностей проактивного поиска угроз (threat hunting) и детектирования горизонтального перемещения с использование легитимных инструментов (Living off the Land). Это дает нашим заказчикам уверенность в том, что ни одна угроза не останется незамеченной», – отметил Станислав Грибанов, руководитель продукта «Гарда NDR».

Справка

*MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org – это международный структурированный список известных техник, приемов и тактик злоумышленников, представленный в виде таблиц (матриц).

«Гарда NDR» (Network Detection and Response) ‒ решение для защиты от сложных и неизвестных киберугроз на основе анализа сетевого трафика и телеметрии с возможностью активного реагирования на инциденты.

Группа компаний «Гарда» (входит в ИКС Холдинг) – производитель продуктов для защиты данных и сетевой безопасности для бизнеса.