Vectra, Anbieter von Software zur Erkennung und Bekämpfung von Cyberangriffen, liefert mit seinem neuen Angebot Cognito Stream Netzwerk-Metadaten aus Unternehmensumgebungen im Zeek-Format. Diese sind laut Vectra mit Sicherheitsinformationen angereichert, um das Security-Personal bei der Bedrohungssuche und der Analyse von Sicherheitsvorfällen zu unterstützen.

Cognito Stream biete eine Transaktionsaufzeichnung jeder Netzwerkkommunikation innerhalb einer Organisation und überspiele diese in einen Data Lake oder an ein SIEM-System (Security-Information- und Event-Management). Die Software ergänze Metadaten dabei um die Host-Identität, sodass ein Security-Analyst Sicherheitsvorfälle effizienter untersuchen könne: Zur Verfügung stehe der gesamte Kontext zu den Ereignissen in der Netzwerkkommunikation zwischen Cloud- und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräten.

Das Anreichern der Metadaten um die Host-Identität soll helfen, parallele Suchen in DHCP-Protokollen zu vermeiden und Änderungen von IP-Adressen zu verfolgen, um ein Gerät anhand einer IP-Adresse zu einer bestimmten Zeit zu finden. Durch das Sammeln und Weiterleiten historischer Metadaten anstelle vollständiger Paketerfassung reduziere Cognito Stream den Speicherbedarf um über 99 Prozent, so der Hersteller. Zugleich stelle man die Einhaltung von Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung (DSGVO) sicher.

Cognito Stream extrahiert laut Vectra Hunderte von Metadatenattributen aus dem Netzwerkverkehr und präsentiert sie in einem kompakten, leicht verständlichen Zeek-Format. Anders als NetFlow liefere dieser Ansatz die Details, die Analysten benötigen, jedoch ohne die Komplexität vollständiger Paketerfassung.

Per ML (Machine Learning) generierte Erkenntnisse seien in die Cognito-Stream-Metadaten eingebettet, so der Anbieter. Dies sorge für nützliche Informationen, die Sicherheitsanalysten mit ihrem Fachwissen kombinieren können, um rasche Schlussfolgerungen zu ziehen.

Die Lösung lässt sich laut Vectra-Angaben sich in weniger als 30 Minuten einrichten, erfordert keine Leistungsanpassung oder laufende Wartung und liefert mehr als die fünffache Einzelsensor-Performance von Zeek. Ein Sicherheitsteam spare sich so den Verwaltungsaufwand für die Open-Source-Lösung Zeek und könne sich auf die Untersuchungen konzentrieren.

Die Sammlung von Netzwerk-Metadaten sowie Host- und Anwendungsdaten ermöglicht laut Vectra-Bekunden nicht nur die umfassende Kartierung eines Unternehmens, sondern auch den Überblick darüber, was als nächstes passieren könnte. Diese Informationen könne man für das Threat Hunting (Aufspüren von Eindringlingen) und die Incident-Analyse nutzen, um selbst komplexe Angriffe zu erkennen.

Cognito Stream ist ab sofort verfügbar. Weitere Informationen finden sich unter www.vectra.ai.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.