HP ArcSight ThreatDetector автоматически определяет паттерны как подозрительных, так и на первый взгляд обычных событий, моментально обнаруживая zero-day, low&slow и root-kit атаки. В дополнение к обнаружению угроз HP ArcSight ThreatDetector поможет обнаружить сетевые устройства, системы и приложения, сконфигурированные небезопасно.
Являясь дополнительной системой корреляции для HP ArcSight ESM, HP ArcSight ThreatDetector использует все его возможности, такие как полноценный сбор, нормализацию и категоризацию данных, для выполнения детального анализа паттернов.
Когда HP ArcSight ThreatDetector обнаруживает повторяющийся паттерн, он сохраняет детальную информацию обо всех событиях паттерна, чтобы помочь аналитику отделить безвредные паттерны от потенциально опасных.
HP ArcSight ThreatDetector автоматически создает новые правила для HP ArcSight ESM, чтобы обнаруживать подобные угрозы в будущем. Благодаря этой возможности предприятие получает дополнительный уровень защиты от самых актуальных и технически изощренных угроз.
HP ArcSight ThreatDetector автоматически обнаруживает медленные атаки, которые иначе были бы упущены, т.к. действия злоумышленника растянуты во времени, чтобы не выделяться в обычном потоке событий и не вызывать срабатывание правил. Он также способен определять атаки, даже если меняется порядок событий в цепочке (что характерно для root-kit атак).
В процессе работы HP ArcSight ThreatDetector постоянно пополняет свою библиотеку подозрительных паттернов, позволяя обеспечить самообучающуюся защиту от рисков информационной безопасности, актуальных именно для данной компании.
Ключевые преимущества
- Ранее обнаружение
Существует множество скрытых взаимосвязей между огромным количеством событий и уведомлений, генерируемых различными устройствами в IT-инфраструктуре. Например, новый вариант вируса или червя не вызовет срабатывания сигнатур антивируса или IPS, но сможет быть обнаружен с помощью ThreatDetector благодаря набору повторяющихся взаимосвязанных событий. Таким образом, у отдела безопасности появится возможность обнаруживать угрозы нулевого дня и хорошо замаскированные атаки на самых ранних этапах.
- Продвинутые технологии обнаружения паттернов
HP ArcSight ThreatDetector производит корреляцию и анализ событий, используя патентованные алгоритмы, чтобы обнаружить взаимосвязи, которые не видны невооруженному глазу. Благодаря возможностям самообучения система адаптируется под обнаружение угроз, наиболее актуальных для данной компании.
- Поведенческий анализ
Другим уникальным преимуществом является возможность создания профиля активности и обнаружение паттернов событий в большем объеме событий за длительный промежуток времени. Благодаря построению профиля хорошего и плохого поведения можно принять меры реагирования, как только активность пользователя отклоняется от профиля, что позволит предотвратить инцидент или минимизировать ущерб. HP ThreatDetector также анализирует информацию о роли пользователя и трендах для определения пользователей, действия которых нарушают политики безопасности и несут риски для бизнеса.
- Помощь в предотвращении инцидентов
HP ArcSight ThreatDetector может генерировать уведомления, когда обнаружена подозрительная или злонамеренная активность в инфраструктуре. Уведомления могут отсылаться по электронной почте, чтобы отдел информационной безопасности смог оперативно прореагировать на инцидент.