«Гарда Монитор» расширяет возможности реагирования на инциденты для SOC

В ноябре 2021 года российский вендор ИБ-решений «Гарда Технологии» (входит в «ИКС Холдинг») обновил и расширил функциональные возможности сетевого анализа, детектирования и расследования сетевых инцидентов NTA-системы «Гарда Монитор» с помощью внедрения технологии вызова пользовательских скриптов.

«Гарда Монитор» собирает и записывает данные обо всех ip-соединениях, выявляет различные признаки вредоносного ПО и подозрительной активности в сетевом трафике. Решение позволяет обнаружить даже те инциденты в сети, которые прошли мимо других систем безопасности. Комплекс нередко используют крупные предприятиям как «систему последнего шанса», когда инцидент произошел вопреки всем действующим системам безопасности, и нужно восстановить ход событий, чтобы понять, что произошло, как и почему, и что сделать, чтобы инциденты не повторялись.

«Гарда Монитор» анализирует сетевой трафик, использует сочетание сигнатурного анализа и машинного обучения для обнаружения атак, подозрительной активности в корпоративной сети и расследования сетевых инцидентов. В новой версии добавлена поддержка сигнатур в формате Suricata 6. 

Решение анализирует поведение сетевых приложений и трафика, показывая связи по протоколам. «Гарда Монитор» детектирует более 250 протоколов, включая протоколы удаленного управления (TeamViewer, RDP и др.), протоколы туннелирования трафика (OpenVPN, CiscoVPN и др.), протоколы сетевых игр (Warcraft, Battlefield и др.), а также мессенджеры, соцсети и TOR. 

Помимо привычного экспорта информации об инциденте в SIEM и уведомления на почту появилась возможность реагирования на инциденты с помощью python-скриптов. Это делает возможным интеграцию «Гарды Монитор» с любыми внешними системами, например, с IRP-системой TheHive.

Еще одно существенное новшество «Гарды Монитор» — блокировка сетевых соединений на маршрутизаторах под управлением ОС Cisco Nexus, что позволяет блокировать нежелательные подключения, например, к командным центрам бот-сетей из внутренней сети.

«Гарда Монитор» становится ежедневным инструментом для оперативной работы специалистов службы безопасности в крупной сетевой инфраструктуре, в том числе при построении SOC: выявляет вредоносную активность в сетевом трафике, осуществляет мониторинг длительных сессий, передает данные в системы реагирования на инциденты через вызов пользовательских скриптов, проводит расследования с последующим устранением инцидентов и позволяет создать политики безопасности для исключения их повторения.

 

«Гарда Монитор» расширяет возможности реагирования на инциденты для SOC - Гарда Технологии, фото 1

Ростелеком отразил «Периметром» все атаки во время выборов

«Гарда Монитор» расширяет возможности реагирования на инциденты для SOC - Гарда Технологии, фото 2

Новый генеральный директор возглавил «Гарда Технологии»

«Гарда Монитор» расширяет возможности реагирования на инциденты для SOC - Гарда Технологии, фото 3

Разработки «Гарда Технологии» соответствуют международным стандартам