Analyse-Tool-Anbieter ExtraHop hat im Rahmen des „Winter 2019“-Releases seiner Netzwerk-Traffic-Analyselösung Reveal(x) neue Funktionen zur Untersuchung von Sicherheitsvorfällen und Leistungsengpässen eingeführt. Teams in Security Operations Centern (SOC) und Network Operations Centern (NOC) sollen ein breites Spektrum an Funktionen zur kontextbasierten, umfassenden Analyse der Angriffsfläche und zur Erkennung von Bedrohungen ebenso erhalten wie Anleitung für die Untersuchung von Vorfällen und für Incident-Response-Maßnahmen.

Die in der neuen Version enthaltenen Tools ziehen laut Hersteller nutzer- und gerätespezifische Daten heran und setzen maschinelles Lernen sowie regelbasierte und benutzerdefinierte Methoden ein, um bekannte und unbekannte Bedrohungen zu identifizieren. Außerdem stelle die Lösung Empfehlungen für erforderliche Maßnahmen und Kontextinformationen bereit, die Analysten bei der Ersteinschätzung ermöglichen sollen, Vorfälle korrekt zu validieren, abzuschließen oder zu priorisieren und eskalieren. Leitende Analysten erhalten zudem zeitnahe, detaillierte Informationen zu einzelnen Nutzern und Geräten, wodurch sich die Identifizierung verdächtiger Geräte, die Untersuchung interner Gefahren sowie die proaktive Bedrohungssuche und forensische Analysen einfacher gestaltet, so ExtraHop weiter.

Als wichtigste Neuerungen des Reveal(x)-Releases nennt der Hersteller:

  • Zuordnung von Geräten und Nutzern: Indem jedes Gerät einem Nutzer zugeordnet wird, soll ein übersichtlicheres Gesamtbild entstehen, sodass Analysten Vorfälle schneller untersuchen und validieren können, ohne vorher einen Abgleich mit Daten aus anderen Tools vornehmen zu müssen.
  • Automatisierte OS-Erkennung: Automatisierte Erkennungsfunktionen identifizieren laut ExtraHop das Betriebssystem des jeweiligen Geräts und gleichen dessen Verhalten mit dem entsprechenden typischen Verhaltensprofil ab, um Anomalien aufzudecken, die auf Spoofing-Angriffe hinweisen.
  • Rollenbasierte Klassifizierung: Erweiterte Funktionen zur automatisierten rollenbasierten Klassifizierung nutzen Verhaltensanalysen, um Gerätetypen wie Mobilgeräte, DHCP-Server, Domain Controller oder DNS-Server zu ermitteln und die klassifizierten Geräte dann entsprechend zu gruppieren. Dadurch behalten Analysten einen klaren Überblick und können sich auf das Wesentliche konzentrieren, so der Hersteller weiter.
  • Dynamische Gruppierung von Geräten: Neue Verfahren ermöglichen es Nutzern, Geräte mithilfe komplexer, umfassender Regeln nach Verhalten und Eigenschaften zu sortieren, um Überwachungs-, Erkennungs- und Einstufungsprozesse effektiver zu gestalten.
  • Leistungsstarke Rules Engine: Eine moderne Rules Engine erkennt laut Hersteller schnell bereits bekannte Bedrohungen, Richtlinienverstöße und Risikobereiche.
  • Empfehlungen zur Untersuchung von Vorfällen: Mit nur einem Klick sollen Analysten bei jedem Vorfall aussagekräftige Empfehlungen zu den nächsten Schritten sowie Transaktions- und Verhaltensdaten der betroffenen Geräte erhalten. Dies erleichtere die zeitnahe Bedrohungsvalidierung und senke die zur Behebung eines Vorfalls benötigte Zeit.
  • Weitere Integrationsmöglichkeiten: ExtraHop lässt sich nun mit ServiceNow CMDB, QRadar SIEM und Firewalls von Palo Alto Networks integrieren.

Weitere Informationen stehen unter www.extrahop.com zur Verfügung.

Timo Scheibe ist Redakteur bei der LANline.