SOC-Форум 2019: Лаборатория Касперского об автоматизации реагирования на инциденты ИБ

10 декабря, 2019

SOC-Форум 2019: Лаборатория Касперского об автоматизации реагирования на инциденты ИБ

BIS Journal начинает серию материалов, в которых спикеры SOC-Форума 2019 ответят на вопросы, которые поступили им в чат-бот организаторов. Сегодня на ваши вопросы отвечает Вениамин Левцов, вице-президент по корпоративным продажам, Лаборатория Касперского.

 

В чем принципиальное отличие допустим вашего EDR от Sysmon, не беря в учёт Response модуль?

Kaspersky Endpoint Detection and Response работает с тысячами хостов одновременно и предоставляет доступ к данным с этих машин. Эти данные хранятся месяц, а скоро окно хранения можно будет расширить. Интегрированное программное решение также связывает все события, и с помощью дерева исполнения процессов можно «размотать» любую цепочку запусков. Благодаря многолетнему опыту компании в области анализа киберугроз в Kaspersky EDR представлен набор правил, с помощью которых детектируются подозрительные и вредоносные активности. Не менее важно, что все это устанавливается «из коробки» и уже настроено.

Sysmon – это бесплатная утилита, которая отслеживает и логирует системные события. У нее отсутствует собственный графический интерфейс, логи собираются отдельно для каждой машины. Для централизованного сбора и последующей корреляции событий с разных рабочих станций необходим сторонний продукт.

Грубо говоря, в Kaspersky EDR без использования сторонних приложений и решений можно выполнить поиск какого-либо события по всем рабочим станциям, на которых установлен агент, нажатием одной кнопки, в то время как в случае с Sysmon необходимо ставить и настраивать дополнительные решения.

Помимо этого, Kaspersky EDR интегрирован с решением Kaspersky Anti Targeted Attack, с помощью которого можно выполнять мониторинг сетевого трафика и, в дальнейшем, использовать данные из событий безопасности, обнаруженных в сетевом трафике, при поиске вредоносной активности на рабочих станциях.

Дополнительно в части обнаружения вредоносного ПО и связанных с ним активностей на рабочих станциях можно использовать песочницу. Объекты на анализ она получает либо в автоматическом режиме из сетевого трафика, либо же в ручном – с рабочих станций. На основе данных, полученных в результате эмуляции ВПО в песочнице офицер безопасности может создавать свои правила обнаружения вредоносной активности на рабочих станциях.

 

Какие детекты я могу написать в EDR, а какие не могу покрыть в том же Sysmon?

С помощью Kaspersky EDR можно написать те же правила что и с Sysmon, но мы также поставляем свои собственные правила. Решение «Лаборатории Касперского» собирает дополнительные события из Kaspersky Endpoint Security и Kaspersky Security Network, полные URL запросов и данные о файлах с помощью которых можно написать правила, недоступные для Sysmon. Также за счет песочницы у нас есть дополнительный контекст о работе того или иного вредоносного ПО, который офицер безопасности может использовать для создания новых правил и дополнения существующих.

Более того, в Sysmon отсутствуют данные о событиях безопасности из сетевого трафика.

 

Как коррелируйте события?

С помощью технологии IOA, которая на лету размечает события и производит детект при поступлении на решение. Благодаря регистрации родителя всех событий, все события автоматически собираются в цепочки и можно найти как первый, так и последний процесс, участвующий в активности.

 

Какой движок? какой поток?

Движок для корреляции разработан нами на базе Spark, но планируем перейти на более быструю собственную разработку. Поток данных составляет где-то 80-100 ГБ в день на 1 максимально нагруженную ноду (10000 подключенных хостов). В событиях это более 20 миллионов в день. Также в следующем году планируем переход на микросервисную архитектуру, которая позволит увеличить эти показатели и удобно масштабировать систему горизонтально.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

05.09.2025
Google сохранит за собой Chrome и Android. Но есть нюанс…
05.09.2025
ICE возобновляет контракт с поставщиком шпионского ПО Paragon
05.09.2025
«Госуслуги», банки, магазины и кино. Первый взгляд на «белые списки»
05.09.2025
Атаки на Salesforce озаботили команду безопасников Google
04.09.2025
Швейцария показала свою «нейтральную» языковую модель
04.09.2025
«Мы обязаны заблокировать все звонки, которые идентифицируются как массовые»
04.09.2025
«Мир» не оставляет восточное направление
04.09.2025
Немкин: Использования встроенного ИИ для доносов не было
04.09.2025
Как ИИ даёт новое измерение платёжным технологиям
04.09.2025
В Международном банковском форуме в Сочи примут участие представители Банка России, Минфина, Минцифры и Госдумы

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных