Exabeam: TDIR-Pakete in Security-Management-Plattform
Framework schützt vor wichtigen Bedrohungskategorien
Exabeam, Spezialist für Sicherheitsanalysen und -automatisierung, hat sein Produktportfolio mit neuen Funktionen ausgestattet, um Analyseteams im Security Operations Center (SOC) dabei zu unterstützen, Arbeitsprozesse hinsichtlich ihrer IT-Sicherheit zu verbessern. Unter anderem habe die Security Management Platform des Sicherheitsunternehmens vorkonfigurierte Pakete für Threat Detection, Investigation and Response (TDIR) für drei die Bedrohungskategorien externe Bedrohungen, kompromittierte Insider und böswillige Insider erhalten.
Die TDIR-Pakete sollen die Arbeitsabläufe von Analyseteams vereinfachen, indem sie voreingestellt Inhalte für die Exabeam-eigene Analyse- und Automatisierungs-Engines bereitstellen und deren Ausführung vor drei häufigen Bedrohungen schützen. Bei letzteren handelt es sich laut Exabeam um Anwendungsfälle für externe Bedrohungen wie Phishing, Malware, Ransomware, Kryptomining und Brute-Force-Attacken. Außerdem sind Anwendungsfälle für kompromittierte Insider im Fokus, die privilegierte Aktivitäten, Kontomanipulation, Privilegienerweiterung, Umgehung, kompromittierte Anmeldeinformationen, Lateral Movements und Datenexfiltration umfassen. Als dritte Bedrohungskategorie fasst das Sicherheitsunternehmen Anwendungsfälle für böswillige Insider zusammen, die Missbrauch von privilegierten Zugriffen, Kontenmanipulation, Audit-Manipulation, physischen Zugriff, Datenzugriffsmissbrauch, Datenlecks und Datenzerstörung umfassen.
Im Gegensatz zu herkömmlichen Lösungen, die eine Abdeckung gängiger Bedrohungen auf die Erkennungslogik beschränken, enthält das Framework Inhalte für alle Phasen der Bedrohungserkennung, Untersuchung und Reaktion, so das Exabeam-Versprechen. Dazu gehöre eine umfassende Onboarding-Anleitung, die darüber informieren soll, welche spezifischen Daten und welcher Kontext innerhalb der Reaktions-Workflows erforderlich sind, um die erfolgreichsten Ergebnisse zu erzielen. Das TDIR-Framework umfasse außerdem Out-of-the-Box-Erkennungsmodelle, die spezifische Taktiken und Techniken des Gegners abdecken. Diese seien dem Mitre-ATT&CK-Framework zugeordnet, um Sicherheitsteams einen gemeinsamen Rahmen für die Erkennung zu bieten. Außerdem sind maßgeschneiderte Watchlists enthalten, die man laut Exabeam so einrichten kann, dass Analyseteams Benutzer und Geräte mit hohem Risiko überwachen können. Ein weiterer Bestandteil seien Checklisten, die eine kuratierte Liste von Untersuchungs-, Eindämmungs- und Abhilfeschritten beinhalten. Dies ermögliche es Analyseteams, einem konsistenten und wiederholbaren Untersuchungs- und Reaktionsworkflow zu folgen. Zudem sollen schlüsselfertige Playbooks, die automatisierbare Reaktionsmaßnahmen zur Bewältigung gängiger Sicherheitsszenarien enthalten, ermöglichen, dass Anwendende keine zusätzliche Software von Drittanbietern lizenzieren oder konfigurieren müssen.
Neben diesen Neuerungen kündigte Exabeam die Cloud-native Anwendung Alert Triage an. Diese soll Sicherheitsanalysten dabei unterstützen, die hohe Anzahl von Alarmen, die täglich von einer Vielzahl von Tools anderer Anbieter auf sie einprasseln, sicher zu bewältigen. Als integrierte Anwendung für alle Cloud-Nutzenden, die Advanced Analytics und den Case Manager von Exabeam verwenden, reichere Alert Triage die Alarme mit Kontext an und präsentiere sie in einer einzigen Übersicht. So sollen Analyseteams schneller entscheiden, welche Alarme sie eskalieren lassen oder löschen sollen.
Lesen Sie mehr zum Thema
