SecurityAdvisor as a Service

Next Generation SIEM auf Appliance Basis

Die beliebig erweiterbare Komplettlösung für die ideale Absicherung Ihrer Unternehmens IT-Infrastruktur

Die Kombination von next Generation SIEM, Security Intelligence, ausgeklügelte Sensoren und Agenten mit einem übersichtlichen Web GUI, machen den SecurityAdvisor on Premise zu einem effizienten Werkzeug um heutigen Cyber Attacken auf gleicher höhe in die Augen zu sehen.

Dashboards, Berichte und Notifizierungen schaffen die notwendige Transparentz um den Überblick zu behalten. Gleichzeitig werden identifizierte Angriffe mit Hilfe der Ereignissbasierten Firewall automatisch geblockt.

Durch die breite Auswahl an Appliances die sowohl als Hardware oder als virtuelle Appliance verfügbar sind, können sowohl mittlere als auch große Umgebungen mit mehreren tausend Usern problemlos bedient werden.

Vorteile

  • automatisierte Berichte und Dashboards
  • Echtzeit Notifizierung bei kritischen Vorfällen
  • Next Generation SIEM
  • Erkennung von Angriffen auf Basis von Log und Netzwerk Analysen
  • automatisierte Reaktion auf Vorfälle (Blocken von Angriffen)
  • Schwachstellen Management
  • Skalierbar durch Clusterfunktionalität
  • noSQL Technologie: Suche und Analyse beinahe in Echtzeit
  • Workflow Management
SecurityAdvisor on Premise - Kreislauf

FunktionsweiseEnterprise

Schützen Sie Ihre IT-Infrastruktur - egal wie groß

Agent

Der SecurityAdvisor Agent überprüft die Integrität von Dateien und der Windows-Registry, übermittelt Log-Daten SSL verschlüsselt zur Überprüfung an die Appliance und blockt bei Bedarf Angriffe.

Unterstützte Betriebssysteme:
Windows | Linux / Unix | OS X

Sensor optional

Die Sensor Appliance analysiert den gesamten Netzwerkverkehr der IT Landschaft auf Anomalien und erkennt automatisiert Schwachstellen Ihrer Systeme. Die Basis sind Statistiken über Netzwerk Verbindungen, die mit Geo-IP Informationen angereichert und mit der SecurityAdvisor Reputation Database abgeglichen werden.

Wenn Zugriffe mit schlechter Reputation erfolgen oder ein - mit Trojaner, Botnet, etc. - infizierter Host, Daten nach Extern übertragt, werden diese Verbindungen vom Sensor registriert und mit einem Etikett versehen, welches ermöglicht Angreifer oder potentiell gefährdete Verbindungen zu erkennen.

Ergebnisse und Informationen über Top-Talker, Top-Application und Top-Victim-Hosts fließen direkt in den SecurityAdvisor ein und liefern sicherheitsrelevante Informationen.

Der Sensor verfügt zusätzlich über einen integrierten nRecorder, der den gesamten Netzwerkverkehr für spätere forensische Analysen speichern kann. Zudem kann der Sensor als ETF Enforcement an einem zentralen Punkt Ihres Netzwerks Angriffe blockieren.

SecurityAdvisor on Premise - Funktion

Log Management inkl. Analytics SIEM

Der SecurityAdvisor Analytics ist eine kosten- und ressourceneffiziente Überwachung der Log Daten. Die von Agents und Sensoren verschlüsselt übertragenen Log-Daten, werden vom SecurityAdvisor zentral gespeichert, normalisiert, korreliert und in Folge relevante Felder extrahiert.

Diese korrelierten Daten werden mit den vordefinierten Mustern und Regeln, die die Reputation Database bereitstellt, abgeglichen und sicherheitsrelevante Ereignisse erkannt. Die Ergebnisse werden in den frei definierbaren, Dashboards und Widgets übersichtlich, durchsuchbar dargestellt und erhöhen das Sicherheitsbewusstsein. Die Reports können Rollenbasierend erstellt, geplant und verschickt werden.

Reputation Database mit Threat Network

In der Reputation Database befinden sich risikobehaftete IP Adressen mit zusätzlichen Informationen (Geo-IP, Risikoeinschätzung, etc.).

Die Datenquelle der Reputation Database ist einerseits das SecurityAdvisor Operations Center SOC, welches täglich eine Vielzahl an Angriffsvektoren sowie Informationen von weltweit platzierten Honeypots analysiert und Muster erstellt.

Des weiteren bildet das SecurityAdvisor Threat Network, welches ein Verbund aller SecurityAdvisor Instanzen weltweit ist und durch Echtzeitaustausch die Erkennungsrate der Angriffsvektoren erhöht, eine mächtige Datenquelle. Um die höchstmögliche Trefferquote zu garantieren, werden die vorhandenen Daten zusätzlich mit öffentlichen Quellen und in Zusammenarbeit mit anerkannten Organisationen abgeglichen.

Schwachstellen Management VM

Das integrierte Vulnerability Management, besteht aus einem Hybrid Scanner, der Schwachstellen automatisiert erkennt und verwaltet. Auf Basis des Workflow-Managments können diese Usern zugeordet werden. Die Schwachstellen werden vom System automatisiert korreliert. In Folge dessen existiert jede Schwachstelle nur einmal im SecurityAdvisor und muss nicht bei jedem Scan manuell konsolidiert werden.

In der SecurityAdvisor Web-GUI werden die gefundenen Schwachstellen übersichtlich, mit Risikoeinschätzung und Lösungsvorschlägen dargestellt. Die behobenen Schwachstellen gehen automatisch in den Workflowstatus „Autosolved“ über.

Ereignisbasierte Firewall ETF

Angriffe die in Analyitcs ein Ereignis auslösen werden von der Event Triggered Firewall geblockt.

Das Modul gehört zur Familie der Next Generation Firewalls und ermöglicht es, das auslösende Ereignis in Ruhe in der Web GUI einzusehen und in Folge weitere Schritte zu setzten. Über das benutzerdefinierte Regelwerk des SecurityAdvisor lassen sich Aktionen, wie das Blocken der Quell-IP, für Ereignisse definieren und so Angriffe verhindern.

Workflow-Management WM

Durch das Workflow gestützte System können Schwachstellen und Ereignisse verschiedenen Usern zugewiesen werden. Es besteht die Möglichkeit, Tasks Benutzern oder Gruppen direkt oder über Regeln zuzuweisen.

Am Workflowstatus lässt sich der Fortschritt eines Ereignisses auf den ersten Blick erkennen.

SecurityAdvisor on Premise

  • Vorteile

    • Echtzeit Notifizierungen
    • Tägliche oder wöchentliche Berichte
    • Daten werden auf der Appliance gespeichert und ausgewertet
  • Technologien

    • Analytics

      • Next Generation SIEM
      • Intelligente Ereignis Korrelation
      • Workflow Management für Teamplayer
    • Reputation Database

      • Reputation Database mit bekannten Angreifern
      • Austausch aktiver Angreifer über Threat Network
    • Event Triggered Firewall

      • Ereignisbasierend
      • Blockt Angriffe automatisch
    • Vulnerability Management

      • Erkennt Schwachstellen
    • Agent

      • Übermittelt Log-Daten
      • Datei und Windows-Registry Integritätsüberprüfung
    • Sensor

      • Hardware Appliance
      • Netzwerkdatenanaylse

Die zunehmende Anzahl an Cyber Angriffen erfordert eine permanente Überwachung der IT-Infrastruktur. Eine automatisierte Analyse, der von Security Gateways und Servern generierten Daten, ist bei der Erkennung von heutigen Angriffsvektoren unumgänglich.

Nur durch Transparenz und ständige Überwachung, lassen sich Kosten und Imageschäden verhindern!