«Гарда NDR 4.0» позволяет оптимизировать затраты на аппаратные мощности для хранения
трафика. За счет опции активного
реагирования заказчики с высокой пропускной способностью сетевой инфраструктуры получили возможность сохранять
содержимое полной копии всего трафика несколько часов или не сохранять вообще, а инциденты информационной безопасности
– до нескольких недель.
Новая версия «Гарда NDR» оперативно детектирует скомпрометированные устройства, защищая тем самым сеть организации от
возможных атак. Опция реализована за счет улучшения функциональности ML-модели выявления маяков (beacon) ботнетов.
Система обнаруживает факты обращения зараженных устройств к командным центрам (C&C) внутри dns-туннелей и даже внутри
dns-over-https-туннелей в случае проникновения в сеть распространенных атакующих фреймворков Cobalt Strike, Sliver,
Brute Ratel C4.
Механизм создания политик безопасности стал более понятным для пользователя: он привязан к сценариям выявления угроз
и аномалий. Специалисты центра компетенций информационной безопасности группы компаний «Гарда» разработали более 60
таких политик с акцентом на ML и пороговые поведенческие модели, которые доступны «из коробки». Все политики
соответствуют матрице MITRE ATT&CK и Kill Chain.
За счет политик безопасности на основе поведенческих моделей поверх фильтров глубокого анализа сетевых пакетов
(DPI-фильтров трафика) в новой версии «Гарда NDR 4.0» увеличена эффективность детектирования неизвестных угроз
(zero-day). Это существенно отличает систему от устаревших решений класса NTA, ориентированных на большое количество
сигнатур и сгруппированных простых правил.
Расширена функциональность виджетов, она помогает в создании информативных дашбордов и отчетов.
Поделиться: