|
Yangi avlod tarmoq trafigi tahlili (NDR)
|
bet | 4/12 | Sana | 13.01.2024 | Hajmi | 7,11 Mb. | | #136424 |
Bog'liq 1-2-3-4 amaliy ishlarYangi avlod tarmoq trafigi tahlili (NDR).
NDR (Network Detection & Response) tizimlari sinfi yaqinda Gartner tadqiqot markazi tomonidan tuzilgan. NDR tizimlari quyidagi texnologiyalarni o'z ichiga oladi:
• tarmoq trafigini tahlil qilish;
• tahdidlarni tezkor aniqlash, tergov qilish va ularga javob berish uchun mashinada o'rganish.
Aslida, NDR NTA texnologiyalarini o'z ichiga oladi, shuningdek, tahdidlarni qidirish va aniqlsh uchun bazaviy metadata qo'shiladi, shuningdek, har xil IT va axborot xavfsizligi vositalari (xavfsizlik devorlari, tarmoqqa kirishni boshqarish va boshqalar) bilan integratsiyalash orqali tahdidlarga avtomatik tarzda javob beradi. NDR yechimlari real vaqtda tahdidlarni aniqlash orqali tarmoqning to'liq ko'rinishini ta'minlaydi, EDR va SIEM mahsulotlari bilan integratsiya esa hodisalarni aniqlash uchun ma'lumotlarning qo'shimcha aniqroq korrelyatsiyasini ta'minlaydi.
Tahdid razvedkasi (Threat Intelligence).
Threat Intelligence yechimlari IT infratuzilmasidagi zaifliklar va tahdidlar bo'yicha ilg'or tahlillarni amalga oshirish imkonini beradi. Tahlil tahdid yoki tahdid razvedkasi kanallari (TIF) haqidagi ma'lumotlarga asoslanib amalga oshiriladi.
Ushbu ma'lumotni olish uchun ma'lumotlar o'rtasidagi munosabatlarni batafsil tahlil qilish kerak. Jarayon katta mehnat xarajatlarini talab qiladi, chunki ko'p hollarda u qo'lda bajariladi. Bunday holatlarda TI-platformalari (Threat Intelligence Platform) mutaxassisni qutqarish uchun qo’l keladi.
Threat Intelligence Platform - tahdid ma'lumotlarini boyitish, aniqlash, tarqatish va o'zaro bog'lash uchun maxsus platforma. Ushbu yechimlar sinfi sizga kanallarni avtomatik ravishda bog'lash, ularni kontekstli ma'lumotlar bilan to'ldirish imkonini beradi. TI platformalarining afzalligi - bu sizga mavjud bo'lgan tahdidlar to'g'risidagi har qanday ma'lumot manbalarini ulash va markazlashtirilgan qayta ishlash qobiliyati, shuningdek, uni boshqa kiberxavfsizlik vositalari bilan, masalan, SIEM tizimlari, hodisalarga javob berish platformalari yoki himoya vositalari bilan birlashtirishdir.
Amalda bunday yechimlar tahlilchilarga ma'lum ko'rsatkichlar yordamida tarmoqlar va tizimlarda murosa izlarini topishga yordam beradi. Masalan, NTA yechimi noqonuniy trafikni aniqladi (aytaylik, SYN-flood - bu tarmoqdan foydalanishni rad etish hujumlarining turlaridan biri, bu juda qisqa vaqt ichida ko'p sonli TCP ulanish so'rovlarini yuborishdan iborat), keyin SIEMga ma'lum bir IP-manzildan SYN-flood aniqlangani haqida xabar beradi. SIEM tizimi ma'lumotlarni tahlil qilib, "IP-manzil" kirish parametri va "SYN-flood" buyrug’i bilan voqea sodir etadi. Keyin SIEM bu ma'lumotni boyitish uchun TI platformasiga yuboradi. Platforma o'z ma'lumotlar bazasini shunga o'xshash DNS yozuvlari uchun tekshirishni boshlaydi.
Agar murosa indikatorlari to'plamida yana o'nlab IP -manzillar topilgan bo'lsa, bu manzillar tekshiriladi va tahlilchiga qaytariladi. Tahlilchi axborotni IT infratuzilma ma'murlariga uzatadi va ular, o'z navbatida, yo'riqnoma yoki xavfsizlik devoridagi sozlamalarga o'zgartirish kiritadilar va shu bilan potensial noqonuniy ulanishlarni oldindan to'sib qo'yadilar.
|
| |