Data Lakes mit Metadaten aus Netzwerkumgebungen
1. März 2019Der Service „Cognito Stream“ liefert Netzwerk-Metadaten aus Unternehmensumgebungen im Zeek-Format, die mit Sicherheitsinformationen angereichert sind, um Fachkräfte bei der Bedrohungssuche und der Analyse von Sicherheitsvorfällen zu unterstützen. Cognito Stream ergänzt Metadaten um die Host-Identität, sodass Analysten Sicherheitsvorfälle wesentlich effizienter untersuchen können, indem ihnen der gesamte Kontext zu den Ereignissen in der Netzwerkkommunikation zwischen Cloud- und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräten zur Verfügung steht.
„Sicherheitsanalysten sollten nicht auch Netzwerkexperten sein müssen, um Bedrohungen komplett untersuchen zu können. Die Suche nach NetFlow-Daten, denen es an Details mangelt, oder nach Paketdaten, die zu komplex sind und deren Speicherung zu teuer ist, muss auf der Grundlage der IP-Adresse erfolgen, was für Sicherheitsanalysten nicht intuitiv ist und eine zusätzliche Korrelation mit separaten DHCP-Protokollen erfordert“, erklärt Eric Ogren, Senior Security Analyst bei 451 Research. „Um umfassenden Einblick ins Netzwerk zu haben, Eindringlinge erkennen und entsprechend reagieren zu können, muss leistungsfähige Intelligence genutzt werden, indem Daten zum Netzwerkverkehr korreliert und den Sicherheitsanalysten aussagekräftige Erkenntnisse geliefert werden.“
Cognito Stream bietet eine Transaktionsaufzeichnung jeder Netzwerkkommunikation innerhalb einer Organisation an ein Enterprise-scale Data Lake oder SIEM-System (Security Information and Event Management). Cognito Stream ergänzt Metadaten mit der Host-Identität, um parallele Suchen in DHCP-Protokollen zu vermeiden und ein Gerät mit einer IP-Adresse zu bestimmten Zeiten zu finden sowie um Änderungen von IP-Adressen zu verfolgen. Durch das Sammeln und Weiterleiten historischer Metadaten anstelle der vollständigen Paketerfassung reduziert Cognito Stream den Speicherbedarf um über 99 Prozent und stellt die Einhaltung von Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung (DSGVO) sicher. Cognito Stream bringt die folgenden Funktionalitäten mit sich:
- Nutzbare Netzwerk-Metadaten im Zeek-Format: Cognito Stream extrahiert Hunderte von Metadatenattributen aus dem Netzwerkverkehr und präsentiert sie in einem kompakten, leicht verständlichen Zeek-Format. Cognito Stream liefert im Vergleich zu NetFlow die Details, die Analysten benötigen, und ohne die Komplexität der vollständigen Paketerfassung.
- Eingebettete Sicherheitsinformationen: Durch maschinelles Lernen generierte Erkenntnisse sind in die Cognito Stream-Metadaten eingebettet, und liefern nützliche Informationen, die Sicherheitsanalysten mit ihrem individuellen Fachwissen kombinieren können, um somit rasche Schlussfolgerungen ziehen zu können.
- Untersuchung von Hosts statt IP-Adressen: Cognito Stream verknüpft Netzwerk-Metadaten automatisch mit anderen Attributen, um eine eindeutige Host-Identität zu ermitteln. Die Benutzerzuordnung ermöglicht es Sicherheitsanalysten, Hosts unabhängig von Änderungen der IP-Adresse effizient zu untersuchen und Beziehungen zwischen Gruppen von Hosts zu analysieren.
- Set and forget – Einfache Nutzung: Cognito Stream lässt sich in weniger als 30 Minuten einrichten, erfordert keine Leistungsanpassung oder laufende Wartung und liefert mehr als die fünffache Einzelsensorperformance von Zeek. Sicherheitsteams sparen sich den Verwaltungsaufwand für die Open-Source-Lösung Zeek und können sich auf Untersuchungen konzentrieren.
Netzwerk-Metadaten bieten IT-Security-Analysten eine erstklassige Sicht auf Muster und Ereignisse, wie sie im gesamten Netzwerk auftreten. Host- und Anwendungsdaten liefern detaillierte Low-Level-Daten zu Verhaltensweisen auf Host-Ebene, einschließlich Systemprozessen und Speicherzugriff. Zusammen ermöglichen diese Datensätze eine umfassende Kartierung des Unternehmens, und liefert somit einen mehrstufigen Überblick, was als nächstes passieren könnte. Diese Informationen können von den Bedrohungsjägern auf effektive Weise kombiniert verwendet werden, um fortschrittliche Bedrohungen zu erkennen. (rhh)
Hier geht es zu Vectra