ArcSight 2020.3: összehangolt, még intelligensebb védelem a kibertérben

A SIEM-eszköz legfrissebb változata lehetővé teszi a biztonsági irányítási központok (SOC) számára, hogy a legmodernebb technológiák előnyeit kihasználva minden eddiginél rugalmasabban, gyorsabban és intelligensebben tudják észlelni és kezelni a kiberfenyegetéseket a belső hálózatban és a felhőben egyaránt.

A Micro Focus szakemberei mindig is arra törekedtek az ArcSight eszközök fejlesztése során, hogy elősegítsék az egyszerű, nyitott és intelligens működést, ami lehetővé teszi a szervezetek számára a támadások elhárítását, illetve a rugalmas reakciókat. A legfrissebb kiadás, az ArcSight 2020.3 is ezt az irányvonalat követi, további okos képességekkel bővítve a lehetőségek tárházát.

Az egyik legfontosabb újítás, hogy a termékben mostantól natív módon elérhetőek a SOAR-képességek, amelyek segítségével a szervezetek előzetesen megadott forgatókönyvek alapján automatizálhatják a kibertámadásokra adott válaszreakciókat, felgyorsítva a műveleteket. Ha például a rendszer azt észleli, hogy feltörték egy felhasználó fiókját, akkor automatikusan zárolja azt, új jelszót generál hozzá, és SMS-ben értesíti is az illetőt. Így értékes perceket lehet megtakarítani, amelyek alatt a támadók komoly károkat tudnának okozni. Ezáltal az eszköz segít enyhíteni a szakemberhiánnyal párhuzamosan növekvő kibertámadások okozta problémákat, hiszen terhet vesz le a szakértők válláról. A megoldás jól testre szabható a csapatok igényeinek megfelelően, illetve többféle szintű automatizálásra, elemzésre és válaszreakciókra biztosít lehetőséget az intuitív felületen keresztül.

További fontos újítás, hogy a viselkedéselemzést és gépi tanulást alkalmazó ArcSight Intelligence (korábban: ArcSight Interset) most már szoftverszolgáltatásként (SaaS) is igénybe vehető. Ezáltal még egyszerűbben bevezethetők és kezelhetők a viselkedéselemző funkciók, és mivel a komponens nagyszerűen együttműködik az ArcSight ESM rendszerrel, így ötvözni lehet ezeket a valós idejű korrelációval. Ezáltal még könnyebben azonosíthatók azok a tevékenységek, amelyek eltérnek a megszokottól, tehát gyanúra adnak okot. Az ArcSight Intelligence ráadásul több ponton is integrálódik a központi ArcSight rendszerbe, így több adat áll rendelkezésre, ennek köszönhetően a fenyegetések is jobban lefedhetők. A SaaS-modellel pedig a korábbi tapasztalatoknak megfelelően optimalizálható az erőforrásigény.

Az új kiadás a bevezetést is egyszerűsíti: egy- és több csomópontos telepítést is támogat például az ArcSight Intelligence, az ArcSight Recon, az ArcSight Fusion és a Transformation Hub összetevők esetében. Továbbá lehetővé teszi a telepítést az AWS és az Azure felhőszolgáltatásokban is, és a felhőnatív csatolókon keresztül a felhőalapú alkalmazások is monitorozhatók vele, ami tovább növeli a biztonságot a felhőben is.

A megújult ArcSight Enterprise Security Manager tartalmazza az új MITRE ATT&CK vezérlőpultot, amelyen jól átláthatók és azonosítók az egyes, a keretrendszerben listázott fenyegetések. A szervezetek itt tekinthetik át, hogy ezek közül melyikkel szemben védettek, és melyikkel szemben kell még kialakítaniuk a védekezési stratégiát.

A megoldás a fentieken kívül új eszközökkel segíti az elemzőket a veszélyforrások keresésében: megosztható esemény URL-eket és exportálási opciókat kínál, illetve jobb kereshetőséget biztosít a hasonló események között.

0