7 bedste trusselsjagtværktøjer for 2022
Begrebet ' trusselsjagt ” betyder at søge gennem et it-system efter ondsindede aktiviteter. Disse aktiviteter kan forekomme i øjeblikket, eller de kan allerede have fundet sted
Trusselsjagtsystemer sælges sjældent som selvstændige pakker. I stedet er dette en teknik, der bruges som en del af en cybersikkerhedstjeneste .
Her er vores liste over de syv bedste trusselsjagtværktøjer:
- SolarWinds Security Event Manager REDAKTØRENS VALG Et af de mest konkurrencedygtige SIEM-værktøjer på markedet med en bred vifte af logstyringsfunktioner. Få en 30-dages gratis prøveperiode.
- VMWare Carbon Black Endpoint En EDR, der er baseret i skyen, men som inkluderer dataindsamlere installeret på overvågede enheder.
- CrowdStrike Falcon Overwatch Et komplet sikkerhedsdriftscenter leveret på abonnementsbasis, der inkluderer et SaaS EDR-system, kaldet Falcon Insight, plus teknikere til at køre softwaren og sikkerhedsanalysen til manuel trusselsjagt.
- Trend Micro Managed XDR En abonnementstjeneste, der tilbyder både softwarebaseret og menneskelig trusselsjagt, der implementerer svar automatisk for at lukke ned for angreb.
- Cynet 360 Et innovativt skybaseret cyberforsvarssystem, der leder ubudne gæster væk fra værdifulde aktiver gennem et Deception-modul, der også udsætter ondsindet aktivitet for granskning og analyse.
- Exabeam Fusion Tilbydes i SIEM- og XDR-formater, begge muligheder bruger de samme trusselsjagtrutiner. Dette er en cloud platform.
- Rapid7 InsightIDR En SIEM- og XDR-tjeneste, der kan føjes til andre tjenester fra den samme cloud-platform, såsom et feed intelligence for trusler.
Trusseljægeren er søgeværktøjet, der gennemsøger aktivitetsdata og leder efter tegn på uønsket adfærd.
De typer systemer, der har trusselsjagt indbygget i dem, er:
- Antivirus (FRA)
- Endpoint detection and response (EDR)
- Udvidet detektion og respons (XDR)
- Sikkerhedsinformation og event management (SIEM)
- Intrusion Detection Systems (IDS)
- Intrusion prevention systems (IPS'er)
- Efterretning om cybertrusler (CTI)
Du vil bemærke, at firewalls ikke er inkluderet på listen. Selvom firewalls scanner trafik, klassificeres deres aktiviteter generelt ikke som trusselsjagt. En firewall filtrerer trafik.
Trusselsjagtstrategier
Trusselsjagtsystemer ser gennem systemdata for indikatorer for angreb eller usædvanlig adfærd. Kilden til disse data er normalt opsamlede ydeevnedata og logmeddelelser. Trusselsjagt kan udføres på en enhed, men det er mere effektivt, hvis alle aktivitetsdata fra alle enheder på et netværk er fester på ét centralt sted. Dette gør det muligt for trusselsjægeren at lede efter ondsindede aktiviteter, der rejser mellem enheder, så cybersikkerhedssystemet kan opdage og blokere et spredende angreb.
Trusler kan implementeres i form af software eller manuel aktivitet af en person. I næsten alle tilfælde vil den ondsindede aktivitet blive udført på en autoriseret brugerkonto.
Hvis en udenforstående bruger en gyldig konto, vil det være på grund af en kontoovertagelse . Dette kan opstå på grund af svag sikkerhed i form af knækkelige adgangskoder. Hackere kan også få kontooplysninger ved at narre brugere til en afsløring.
Hvis den ondsindede aktør er en medarbejder, kan den pågældende bruger være blevet narret eller truet til at handle på vegne af en udefrakommende. EN utilfreds medarbejder måske ønsker at skade virksomheden ved at stjæle eller afsløre følsomme data eller sælge data for økonomisk vinding.
Selvom softwaren normalt er involveret i en ondsindet hændelse, er dette ikke altid malware eller uautoriserede systemer installeret af en hacker. Det autoriserede applikationer som du har installeret til brug for virksomhedens medarbejdere, kan behandle og flytte data, og de kan også tjene ondsindede insidere og ubudne gæster.
Automatiseret og manuel trusselsjagt
Trusselsjagtprocesser er indbygget i cybersikkerhedssoftware. Det kan dog trusselsjagt være en menneskelig aktivitet såvel. En datafremviser med søge- og sorteringsfaciliteter gør det muligt for en cybersikkerhedsspecialist at analysere data og foretage forespørgsler om muligt misbrug af data.
Selvom en systemadministrator måske bemærker noget mærkeligt ved brugerkontoaktivitet og ønsker at undersøge nærmere, er trusselsjagt mere normalt en aktivitet, der udføres af dedikerede fagfolk. Ikke mange virksomheder er store nok til at have råd til at beholde en kvalificeret cybersikkerhedsspecialist på personale, så disse eksperter er mere tilbøjelige til at blive stødt på at arbejde for konsulentvirksomheder og blive involveret i en kundevirksomheds data, når de kaldes ind for at sortere ud en nødsituation .
Virksomheder kan oprette en løbende kontrakt for konsulentydelser ved at tilmelde sig en administreret sikkerhedspakke , som omfatter både beskyttelsessoftwaren og tjenester fra cybersikkerhedseksperter til at analysere data i tilfælde af uregelmæssigheder, som softwaren ikke kan kategorisere.
De bedste trusselsjagtværktøjer
Feltet for trusselsjagt tilbyder en række konfigurationer, og de omfatter softwarepakker på stedet, SaaS-platforme og administrerede tjenester. Når man søger gode eksempler på trusselsjagtsystemer at anbefale, skal vi være opmærksomme på, at forskellige størrelser og typer af virksomheder vil have forskellige behov. Derfor er det umuligt at anbefale en enkelt pakke, der let kan identificeres som den bedste tilgængelige mulighed.
Hvad skal du kigge efter i et trusselsjagtværktøj?
Vi undersøgte markedet for cybersikkerhedssystemer, der inkorporerer trusselsjagtprocesser og analyserede de tilgængelige muligheder baseret på følgende kriterier:
- En dataindsamlingstjeneste til at tilføre begivenhedsinformation til trusselsjægeren
- Dataaggregering for at standardisere formatet af hændelsesregistreringer
- Muligheder for manuel analyse
- Automatiske svarindstillinger
- Trusseldetektionsregering ved en sikkerhedspolitik
- En gratis prøveperiode eller et demosystem til at vurdere systemet før betaling
- Værdi for pengene, leveret af omfattende sikkerhedsbeskyttelse til en passende pris
Med disse kriterier i tankerne identificerede vi pålidelige cybersikkerhedsværktøjer, der inkluderer fremragende trusselsjagtprocedurer. Vi sørgede for at inkludere on-premises, SaaS og administrerede servicemuligheder.
1. SolarWinds Security Event Manager (GRATIS PRØVE)
SolarWinds Security Event Manager er den bedste mulighed for de systemadministratorer, der ønsker at beholde alt internt. Pakken kører på din server og udforsker alle andre endepunkter på tværs af netværket. Dette system fungerer på live-netværkets ydeevnedata, hentet fra kilder, såsom Simpel netværksstyringsprotokol (SNMP) samt logmeddelelser.
Nøglefunktioner:
- Samlere af logfiler
- On-premises
- Sensitive data manager
- Compliance revision
- Signaturbaseret trusselsjagt
Pakken indeholder stik denne grænseflade til applikationer og udtrække hændelsesdata. Systemet omfatter også en filintegritetsmonitor der registrerer adgang til filer og ændringer i deres indhold. Dette er en følsom data manager der overvåger nominerede filer og mapper.
Ydeevneaflæsningerne og logmeddelelserne bliver derefter konverteret til et almindeligt format, som kaldes ' konsolidering ”. Værktøjet præsenterer disse registreringer for trusselsjagtmodulet til analyse.
De ondsindede aktiviteter, som trusseljæger detekterer kan stoppes med det samme. Denne trusseljæger er en signaturbaseret tjeneste, der leder efter indikatorer for angreb. Systemet indeholder en liste over svar, som kaldes sammenhængsregler . Disse angiver en handling, der skal tages, hvis en trussel opdages. Disse handlinger kan være blokering af trafik fra og til en specifik IP-adresse, suspendering af en brugerkonto, nedlukning af en proces og sletning af en fil.
Fordele:
- Fungerer som en SIEM
- Håndterer logfiler
- Implementerer automatiske svar
- Advarsler om mistænkelig aktivitet
- Bruger live netværksdata samt logfiler
Ulemper:
- Ingen cloud-version
SolarWinds Security Event Manager installeres på Windows Server og den er tilgængelig foren 30-dages gratis prøveperiode.
REDAKTØRENS VALG
SolarWinds Security Event Managerer vores bedste valg til en trusselsjagtpakke, fordi den giver dig mulighed for at holde fuld kontrol over dine it-tjenester. Mange it-systemledere er stadig ikke komfortable med udbredelsen af cloud-baserede systemer, fordi denne strategi reducerer kontrollen, giver ekstra muligheder for ubudne gæster at komme ind på og kræver, at nogle detaljer om virksomheden holdes på en ekstern server.
Hent:Få en 30-dages gratis prøveperiode
Officielt websted:https://www.solarwinds.com/security-event-manager/registration
DU:Windows Server
2. VMWare Carbon Black Endpoint
VMware Carbon Black Endpoint beskytter flere endepunkter. Hvert tilmeldt slutpunkt har en agent installeret på sig, og denne enhed kommunikerer med den cloud-baserede Carbon Black-dataprocessor.
Nøglefunktioner:
- Trusselsefterretningsfeed
- Anomali detektion
- SØV
- Hurtig trusselsjagt
En netværksagent kommunikerer også med tredjeparts sikkerhedsværktøjer som en del af en teknik, der kaldes sikkerhedsorkestrering, automatisering og respons (SOAR). SOAR-systemet indsamler oplysninger fra tredjeparts sikkerhedsværktøjer, såsom firewalls, og føjer dette til puljen af oplysninger, der indsamles i skyen.
Det trusselsjagt modul i Carbon Black-pakken kaldes Forudsigende skysikkerhed , som er bemærkelsesværdig for sin evne til at søge gennem store datasamlinger meget hurtigt. Registreringen af en trussel udløser svarinstruktioner der sendes til enhedsagenterne og også til tredjepartsværktøjer, der er tilmeldt SOAR-systemet.
Fordele:
- Gensidig trusselsudveksling mellem klienter
- Råd om systemhærdning
- Automatiserede svar
- Beskyt flere websteder
Ulemper:
- Inkluderer ikke en logmanager
Det SaaS-pakke implementerer trusselsjagt pr. klient og samler derefter alle opdagede data til en central søgning for alle klienter. Denne centrale trussel jagt giver trusselsefterretninger om hackerkampagner og advarer klienter forud for angrebet. Du kan anmode en demo af VMWare Carbon Black Endpoint-systemet.
3. CrowdStrike Falcon Overwatch
CrowdStrike Falcon er en cloud platform af sikkerhedsværktøjer, der inkluderer en EDR, kaldet Indsigt , og en XDR . EDR koordinerer med CrowdStrike on-device systemer og XDR tilføjer SOAR.
Nøglefunktioner:
- Anomali-baseret
- Lokal trusselsjagt
- Konsolideret skybaseret trusselsjagt
Det ene produkt fra CrowdStrike, der kører på endepunkter, er en næste generations antiviruspakke, kaldet Falcon Prevent . Dette udfører sit eget trusselsjagt og implementerer forsvarsreaktioner. Hvis køberen af Falcon Prevent også har abonneret på et af de cloud-baserede systemer, fungerer AV'en som en agent til det.
Både Falcon Insight og Falcon XDR optræder trusselsjagt i skyen på puljen af data uploadet fra alle endepunkter, der er tilmeldt planen. Denne trusselsjagtproces kan forbedres med et trusselsefterretningsfeed, kaldet Falcon Intelligence .
En virksomhed, der ikke ønsker at beholde en sikkerhedsekspert på personalet, ville gå glip af fordelen ved manuel trusselsjagt og ekspertsikkerhedsanalyse. CrowdStrike imødekommer dette behov med Overwatch pakke. Dette er et komplet sikkerhedsdriftscenter, der leverer systemdækkende trusselsdetektion og responsstyring til abonnerende klienter. Dette er Falcon XDR SaaS-pakken med sikkerhedsanalytikere tilføjet.
Fordele:
- Mulighed for en administreret service
- Trusselsefterretningsfeed
- SØV
Ulemper:
- Mange muligheder kan tage tid at vurdere
Overwatch-planen inkluderer en installation af Falcon Prevent på hvert endepunkt. Du kan få en 15-dages gratis prøveperiode af CrowdStrike Falcon Prevent.
4. Trend Micro Managed XDR
Trend Micro Managed XDR er en SOC-til-udlejning-plan, der tilføjer tjenester fra sikkerhedsspecialister til Trend Micro Vision One systemsikkerhedspakke. Vision One er en SaaS XDR med agenter på enheden og SOAR, der når ud til tredjeparts sikkerhedsværktøjer.
Nøglefunktioner:
- Trusselsjagt på flere niveauer
- Sikkerhedsanalytikere
- SØV
Vision One-tjenesten er en cloud-koordinator af Trend Micro-endpoint-resident AV'er på enheden, som udfører deres egen trusselsjagt lokalt. Disse enheder uploader aktivitetsdata til Trend Micro-serveren for trusselsjagt på hele virksomheden . Trend Micro trusselsdetektionssystemet kaldes Zero Trust Risk Insight . Den leder efter unormal adgang til applikationer, identificerer insidertrusler og indtrængen.
Den administrerede service omfatter automatiserede systemer og ekspertanalytikere. Manuel trusselsjagt reducerer generne ved, at sjældne legitime opgaver blokeres af automatiserede EDR-processer. Analyse kan også give anbefalinger til systemhærdning.
Fordele:
- Velegnet til virksomheder, der ikke har nogen sikkerhedseksperter på lønningslisten
- Kan administrere sikkerhed for flere websteder
- Overholdelsesrapportering
Ulemper:
- Dyrere end selvstyrede muligheder
Du kan få adgang til et demosystem, som kaldes Vision One Test Drive .
5. Cynet 360 AutoXDR-platform
Cynet 360 AutoXDR-platform omfatter et trusselsjagtlag, der indsamler oplysninger om ondsindet aktivitet fra tredjepartsværktøjer på stedet. Denne platform er beboer i skyen og det giver adskillige hjælpeprogrammer til at hjælpe de automatiserede systemer på stedet med at opdage trusler.
Nøglefunktioner:
- Cloud-baseret
- Lokale dataindsamlere
- Bedragsteknikker
Trusselsidentifikationstjenesterne i Cynet 360 inkluderer sandboxing og en honningkrukke system, der giver en falsk teaser til hackere, der trækker dem til en analyseenhed.
Samt sin egen forskningslaboratoriestruktur Autonom brudbeskyttelse system i Cynet 360 samler lokal information gennem agenter i et netværk kaldet Sensor Fusion . Trusselsjagtprocessen udløses bruger- og enhedsadfærdsanalyse (UEBA) for at vurdere hensigten med almindelig forretningstrafik rundt om netværket og blokerer ondsindet aktivitet gennem SOAR.
Fordele:
- Anomali-baseret trusselsjagt med UEBA til baselining
- SØV
- Hukommelse retsmedicin
Ulemper:
- Ingen logmanager
Cynet tilbyder en 14-dages gratis prøveperiode af AutoXDR-platformen.
6. Exabeam Fusion
Exabeam Fusion er en cloud platform med on-site agenter, der implementerer trusselsdetektion, undersøgelse og reaktion (TDIR). Pakken kan fungere som en XDR eller en SIEM. Værktøjet trækker kildedata fra sine on-site-agenter til at føre til trusselsdetektion modul, der fungerer i skyen.
Nøglefunktioner:
- Anomali-baseret trusselsjagt
- UEBA
- Overholdelsesrapportering
Exabeam Fusion-trusselsjagttjenesten bruger anomalidetektion, som er bygget på UEBA til aktivitetsbaselining. Tjenesten kan skræddersyes til specifikke databeskyttelsesstandarder, og så vil den også automatisk generere compliance-rapportering.
Systemet er afhængigt af logoplysninger for kildedata, og det kan interface direkte med en liste over softwarepakker gennem et bibliotek af stik . Tjenesten vil også konsolidere og gemme logfiler til manuel analyse af trusselsjagt og compliance audit.
Fordele:
- Indsamler aktivitetsdata fra applikationer
- Undersøger logfiler fra operativsystemer
- Logstyring
Ulemper:
- Slutpunkter er ikke beskyttet, hvis de afbrydes fra netværket
Du kan vurdere Exabeam Fusion med en demo .
7. Rapid7 InsightIDR
Rapid7 er en cloud-platform af cybersikkerhedsmoduler. Du vælger hvilke tjenester du vil have fra menuen med muligheder, og disse pakker går sammen. Skysystemet kaldes Rapid7 Insight og XDR-pakken på den platform kaldes InsightIDR – IDR står for “ hændelsesopdagelse og -respons ” og det kan også bruges som en næste generations SIEM.
Nøglefunktioner:
- SIEM
- Trusselsintelligens
- Både anomali og signaturbaseret
InsightIDR-tjenesten kræver, at agenter installeres på beskyttede slutpunkter. De uploadede logfiler, der er indsamlet af disse agenter, leverer kildematerialet til SIEM søger, og de vil også blive gemt i logfiler til manuel trusselsjagt og compliance audit.
Rapid7 leverer en trusselsefterretningsfeed til trusselsjagttjenesten, som kaldes Angrebsadfærdsanalyse (ABA) modul. Dette ABA-system er signaturbaseret, men det interagerer med anomalibaserede UEBA-søgninger for at give en blandet trusselsjagtstrategi.
Fordele:
- Hurtig trusselsjagt takket være triage informeret af trusselsefterretninger
- Bruger UEBA
- Automatiserede svar
Ulemper:
- SOAR koster ekstra
En anden pakke tilgængelig på Insight-platformen er Insight Connect , som udvider mulighederne for InsightIDR ved at tilføje SØV stik.
Du kan vurdere Rapid7 InsightIDR med en 30-dages gratis prøveperiode .