Die 7 besten Threat-Hunting-Tools für 2022
Der Begriff ' Bedrohungsjagd „ bedeutet, ein IT-System nach böswilligen Aktivitäten zu durchsuchen. Diese Aktivitäten finden möglicherweise gerade statt oder haben bereits stattgefunden
Threat-Hunting-Systeme werden selten als eigenständige Pakete verkauft. Stattdessen handelt es sich um eine Technik, die im Rahmen von verwendet wird ein Cybersicherheitsdienst .
Hier ist unsere Liste der sieben besten Threat-Hunting-Tools:
- SolarWinds Security Event Manager WAHL DES HERAUSGEBERS Eines der wettbewerbsfähigsten SIEM-Tools auf dem Markt mit einer breiten Palette an Protokollverwaltungsfunktionen. Holen Sie sich eine 30-tägige kostenlose Testversion.
- VMWare Carbon Black Endpoint Ein EDR, das in der Cloud basiert, aber Datensammler umfasst, die auf überwachten Geräten installiert sind.
- CrowdStrike Falcon Overwatch Ein vollständiges Sicherheitsbetriebszentrum, das auf Abonnementbasis bereitgestellt wird und ein SaaS-EDR-System namens Falcon Insight sowie Techniker zur Ausführung der Software und Sicherheitsanalyse für die manuelle Bedrohungssuche umfasst.
- Trend Micro verwaltetes XDR Ein Abonnementdienst, der sowohl softwarebasierte als auch menschliche Bedrohungssuche bietet und automatisch Reaktionen implementiert, um Angriffe abzuwehren.
- Cynet 360 Ein innovatives cloudbasiertes Cyber-Abwehrsystem, das Eindringlinge mithilfe eines Deception-Moduls von wertvollen Vermögenswerten abhält und außerdem böswillige Aktivitäten einer genauen Prüfung und Analyse aussetzt.
- Exabeam Fusion Beide Optionen werden in den Formaten SIEM und XDR angeboten und verwenden dieselben Routinen zur Bedrohungssuche. Dies ist eine Cloud-Plattform.
- Rapid7 InsightIDR Ein SIEM- und XDR-Dienst, der zu anderen Diensten derselben Cloud-Plattform hinzugefügt werden kann, beispielsweise einem Threat-Intelligence-Feed.
Der Threat Hunter ist das Suchtool, das Aktivitätsdaten nach Anzeichen unerwünschten Verhaltens durchsucht.
Die Arten von Systemen, in die Threat Hunting integriert ist, sind:
- Antivirus (AUS)
- Endpunkterkennung und -reaktion (EDR)
- Erweiterte Erkennung und Reaktion (XDR)
- Sicherheitsinformations- und Ereignismanagement (SIEM)
- Einbruchmeldesysteme (IDS)
- Intrusion-Prevention-Systeme (IPS)
- Cyber Threat Intelligence (CTI)
Sie werden feststellen, dass Firewalls nicht in der Liste enthalten sind. Obwohl Firewalls den Datenverkehr scannen, werden ihre Aktivitäten im Allgemeinen nicht als Bedrohungssuche eingestuft. Eine Firewall filtert den Datenverkehr.
Strategien zur Bedrohungsjagd
Bedrohungsjagdsysteme durchsuchen Systemdaten nach Anzeichen für einen Angriff oder ungewöhnliches Verhalten. Die Quelle dieser Daten sind in der Regel erfasste Leistungsdaten und Protokollmeldungen. Die Bedrohungssuche kann auf einem Gerät durchgeführt werden, ist jedoch effektiver, wenn alle Aktivitätsdaten aller Geräte in einem Netzwerk erfasst werden Parteien an einem zentralen Ort. Dadurch kann der Bedrohungsjäger nach bösartigen Aktivitäten suchen, die zwischen Geräten übertragen werden, sodass das Cybersicherheitssystem einen sich ausbreitenden Angriff erkennen und blockieren kann.
Bedrohungen könnten in Form von umgesetzt werden Software oder manuelle Tätigkeit von einer Einzelperson. In fast allen Fällen wird die böswillige Aktivität innerhalb eines autorisierten Benutzerkontos ausgeführt.
Wenn ein Außenstehender ein gültiges Konto verwendet, liegt dies an einem Kontoübernahme . Dies kann aufgrund mangelnder Sicherheit in Form von knackbaren Passwörtern der Fall sein. Hacker können auch an Kontoanmeldeinformationen gelangen, indem sie Benutzer zu einer Offenlegung verleiten.
Wenn es sich bei dem böswilligen Akteur um einen Mitarbeiter handelt, wurde der betreffende Benutzer möglicherweise dazu verleitet oder bedroht, im Namen eines Außenstehenden zu handeln. A verärgerter Mitarbeiter Möglicherweise möchten Sie dem Unternehmen schaden, indem Sie sensible Daten stehlen oder offenlegen oder Daten aus finanziellen Gründen verkaufen.
Obwohl die Software normalerweise an einem böswilligen Ereignis beteiligt ist, handelt es sich dabei nicht immer um Malware oder nicht autorisierte Systeme, die von einem Hacker installiert wurden. Der autorisierte Anwendungen Die von Ihnen zur Nutzung durch Mitarbeiter des Unternehmens installierten Programme können Daten verarbeiten und verschieben und können auch böswilligen Insidern und Eindringlingen dienen.
Automatisierte und manuelle Bedrohungssuche
Prozesse zur Bedrohungssuche sind in Cybersicherheitssoftware integriert. Die Bedrohungssuche kann jedoch sein eine menschliche Tätigkeit sowie. Ein Datenbetrachter mit Such- und Sortierfunktionen ermöglicht es einem Cybersicherheitsspezialisten, Daten zu analysieren und Nachforschungen über einen möglichen Datenmissbrauch anzustellen.
Obwohl einem Systemmanager möglicherweise etwas Seltsames an der Aktivität des Benutzerkontos auffällt und er dies weiter untersuchen möchte, ist die Bedrohungssuche in der Regel eine Tätigkeit, die von engagierten Fachleuten durchgeführt wird. Nicht viele Unternehmen sind groß genug, um sich eine qualifizierte Ausbildung leisten zu können Spezialist für Cybersicherheit Daher ist es wahrscheinlicher, dass diese Experten bei Beratungsunternehmen anzutreffen sind und sich mit den Daten eines Kundenunternehmens befassen, wenn sie zur Klärung hinzugezogen werden ein Notfall .
Unternehmen können einen laufenden Vertrag für Beratungsleistungen abschließen, indem sie sich für a anmelden verwaltetes Sicherheitspaket , das sowohl die Schutzsoftware als auch die Dienste von Cybersicherheitsexperten zur Datenanalyse im Falle von Anomalien umfasst, die die Software nicht kategorisieren kann.
Die besten Tools zur Bedrohungssuche
Der Bereich Threat Hunting bietet eine Reihe von Konfigurationen und umfasst On-Premises-Softwarepakete, SaaS-Plattformen und Managed Services. Bei der Suche nach guten Beispielen für Bedrohungsjagdsysteme Um eine Empfehlung aussprechen zu können, müssen wir uns darüber im Klaren sein, dass unterschiedliche Größen und Arten von Unternehmen unterschiedliche Anforderungen haben. Daher ist es unmöglich, ein einzelnes Paket zu empfehlen, das leicht als die beste verfügbare Option identifiziert werden kann.
Worauf sollten Sie bei einem Threat-Hunting-Tool achten?
Wir haben den Markt für Cybersicherheitssysteme untersucht, die Prozesse zur Bedrohungssuche beinhalten, und die verfügbaren Optionen anhand der folgenden Kriterien analysiert:
- Ein Datenerfassungsdienst, um Ereignisinformationen in den Bedrohungsjäger einzuspeisen
- Datenaggregation zur Standardisierung des Formats von Ereignisaufzeichnungen
- Optionen zur manuellen Analyse
- Automatisierte Antworteinstellungen
- Bedrohungserkennung durch eine Sicherheitsrichtlinie
- Eine kostenlose Testversion oder ein Demosystem, um das System vor der Zahlung zu testen
- Preis-Leistungs-Verhältnis durch umfassenden Sicherheitsschutz zu einem angemessenen Preis
Unter Berücksichtigung dieser Kriterien haben wir zuverlässige Cybersicherheitstools identifiziert, die über hervorragende Verfahren zur Bedrohungssuche verfügen. Wir haben darauf geachtet, On-Premises-, SaaS- und Managed-Service-Optionen einzubeziehen.
1. SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)
SolarWinds Security Event Manager ist die beste Option für Systemmanager, die alles im eigenen Haus behalten möchten. Das Paket läuft auf Ihrem Server und erkundet alle anderen Endpunkte im Netzwerk. Dieses System arbeitet mit Live-Netzwerkleistungsdaten, die aus Quellen wie dem stammen Einfaches Netzwerkverwaltungsprotokoll (SNMP) sowie Protokollmeldungen.
Hauptmerkmale:
- Protokolldateisammler
- Auf dem Gelände
- Sensibler Datenmanager
- Compliance-Prüfung
- Signaturbasierte Bedrohungssuche
Das Paket beinhaltet Anschlüsse Diese stellen eine Schnittstelle zu Anwendungen dar und extrahieren Ereignisdaten. Das System umfasst außerdem a Dateiintegritätsmonitor das den Zugriff auf Dateien und Änderungen an deren Inhalt aufzeichnet. Das ist ein Manager sensibler Daten das die nominierten Dateien und Ordner überwacht.
Die Leistungsanzeigen und Protokollmeldungen werden dann in ein gemeinsames Format konvertiert, das „ Konsolidierung “. Das Tool übermittelt diese Datensätze dem Threat-Hunting-Modul zur Analyse.
Die böswilligen Aktivitäten, die die Bedrohungsjäger Erkennungen können sofort gestoppt werden. Dieser Bedrohungsjäger ist ein signaturbasierter Dienst, der nach Angriffsindikatoren sucht. Das System enthält eine Liste der Antworten, die aufgerufen werden Korrelationsregeln . Diese geben eine Aktion an, die ausgeführt werden soll, wenn eine Bedrohung erkannt wird. Diese Aktionen können das Blockieren des Datenverkehrs von und zu einer bestimmten IP-Adresse, das Sperren eines Benutzerkontos, das Beenden eines Prozesses und das Löschen einer Datei sein.
Vorteile:
- Fungiert als SIEM
- Verwaltet Protokolldateien
- Implementiert automatisierte Antworten
- Warnungen bei verdächtigen Aktivitäten
- Verwendet Live-Netzwerkdaten sowie Protokolle
Nachteile:
- Keine Cloud-Version
SolarWinds Security Event Manager wird installiert auf Windows Server und es ist verfügbar füreine 30-tägige kostenlose Testversion.
DIE WAHL DES HERAUSGEBERS
SolarWinds Security Event Managerist unsere erste Wahl für ein Threat-Hunting-Paket, da Sie damit die volle Kontrolle über Ihre IT-Dienste behalten. Viele IT-Systemmanager sind immer noch mit der Verbreitung cloudbasierter Systeme unzufrieden, da diese Strategie die Kontrolle einschränkt, Eindringlingen zusätzliche Zugangsmöglichkeiten bietet und erfordert, dass einige Details über das Unternehmen auf einem externen Server gespeichert werden.
Herunterladen:Holen Sie sich eine 30-tägige kostenlose Testversion
Offizielle Seite:https://www.solarwinds.com/security-event-manager/registration
DU:Windows Server
2. VMWare Carbon Black-Endpunkt
VMware Carbon Black-Endpunkt schützt mehrere Endpunkte. Auf jedem registrierten Endpunkt ist ein Agent installiert, und diese Einheit kommuniziert mit dem cloudbasierten Carbon Black-Datenprozessor.
Hauptmerkmale:
- Threat-Intelligence-Feed
- Anomalieerkennung
- STEIGEN
- Schnelle Bedrohungssuche
Ein Netzwerkagent kommuniziert im Rahmen einer sogenannten Technik auch mit Sicherheitstools von Drittanbietern Sicherheitsorchestrierung, Automatisierung und Reaktion (STEIGEN). Das SOAR-System sammelt Informationen von Sicherheitstools Dritter, wie z. B. Firewalls, und fügt diese dem in der Cloud gesammelten Informationspool hinzu.
Der Bedrohungsjagd Modul im Carbon-Black-Paket aufgerufen wird Vorausschauende Cloud-Sicherheit , das sich durch seine Fähigkeit auszeichnet, große Datensammlungen sehr schnell zu durchsuchen. Die Erkennung einer Bedrohung löst aus Antwortanweisungen die an die Geräteagenten und auch an die im SOAR-System registrierten Drittanbieter-Tools gesendet werden.
Vorteile:
- Gegenseitiger Bedrohungsaustausch zwischen Kunden
- Ratschläge zur Systemhärtung
- Automatisierte Antworten
- Schützen Sie mehrere Websites
Nachteile:
- Enthält keinen Protokollmanager
Der SaaS-Paket implementiert die Bedrohungssuche pro Client und bündelt dann alle entdeckten Daten für eine zentrale Suche für alle Clients. Diese zentrale Bedrohungssuche bietet Bedrohungsinformationen informiert über Hacker-Kampagnen und warnt Kunden vor dem Angriff. Sie können eine Anfrage stellen eine Demo des VMWare Carbon Black Endpoint-Systems.
3. CrowdStrike Falcon Overwatch
CrowdStrike Falcon ist eine Cloud-Plattform von Sicherheitstools, die ein EDR enthalten, genannt Einblick , und ein XDR . Der EDR koordiniert sich mit CrowdStrike-On-Device-Systemen und der XDR fügt SOAR hinzu.
Hauptmerkmale:
- Anomaliebasiert
- Lokale Bedrohungssuche
- Konsolidierte cloudbasierte Bedrohungssuche
Das einzige Produkt von CrowdStrike, das auf Endpunkten läuft, ist ein Antivirenpaket der nächsten Generation namens Falcon Prevent . Dies erfüllt seinen Zweck Bedrohungsjagd und setzt Verteidigungsmaßnahmen um. Wenn der Käufer von Falcon Prevent auch eines der cloudbasierten Systeme abonniert hat, fungiert der AV als ein Agent dazu.
Sowohl Falcon Insight als auch Falcon XDR sind leistungsstark Bedrohungsjagd in der Cloud auf dem Datenpool, der von allen im Plan registrierten Endpunkten hochgeladen wurde. Dieser Threat-Hunting-Prozess kann durch einen sogenannten Threat-Intelligence-Feed erweitert werden Falcon Intelligence .
Ein Unternehmen, das keinen Sicherheitsexperten im Personal behalten möchte, würde sich die Vorteile entgehen lassen manuelle Bedrohungssuche und fachmännische Sicherheitsanalyse. CrowdStrike erfüllt dieses Bedürfnis mit dem Overwatch Paket. Hierbei handelt es sich um ein umfassendes Sicherheitsbetriebszentrum, das abonnierten Kunden eine systemweite Bedrohungserkennung und Reaktionsverwaltung bietet. Dies ist das Falcon XDR SaaS-Paket mit zusätzlichen Sicherheitsanalysten.
Vorteile:
- Option für einen Managed Service
- Threat-Intelligence-Feed
- STEIGEN
Nachteile:
- Die Beurteilung vieler Optionen kann einige Zeit in Anspruch nehmen
Der Overwatch-Plan beinhaltet eine Installation von Falcon Prevent auf jedem Endpunkt. Du kannst bekommen eine 15-tägige kostenlose Testversion von CrowdStrike Falcon Prevent.
4. Trend Micro Managed XDR
Trend Micro verwaltetes XDR ist ein SOC-Mietplan, der die Dienste von Sicherheitsspezialisten ergänzt Trend Micro Vision One Systemsicherheitspaket. Vision One ist ein SaaS-XDR mit geräteinternen Agenten und SOAR, das auf Sicherheitstools von Drittanbietern zurückgreift.
Hauptmerkmale:
- Mehrstufige Bedrohungssuche
- Sicherheitsanalysten
- STEIGEN
Der Vision One-Dienst ist ein Cloud-Koordinator von Trend Micro-Endpunkt-residenten AVs auf dem Gerät, die ihre eigene Bedrohungssuche lokal durchführen. Diese Einheiten laden Aktivitätsdaten auf den Trend Micro-Server hoch unternehmensweite Bedrohungssuche . Das Trend Micro-Bedrohungserkennungssystem heißt Zero Trust Risk Insight . Es sucht nach anormalen Zugriffen auf Anwendungen und identifiziert Insider-Bedrohungen und Eindringlinge.
Der verwaltete Service umfasst automatisierte Systeme und Expertenanalysten. Manuelle Bedrohungssuche reduziert die Unannehmlichkeiten, die dadurch entstehen, dass seltene legitime Aufgaben durch automatisierte EDR-Prozesse blockiert werden. Aus der Analyse können auch Empfehlungen zur Systemhärtung abgeleitet werden.
Vorteile:
- Geeignet für Unternehmen, die keine Sicherheitsexperten auf der Gehaltsliste haben
- Kann die Sicherheit für mehrere Standorte verwalten
- Compliance-Berichterstattung
Nachteile:
- Teurer als selbstverwaltete Optionen
Sie können Zugang zu einem Demosystem erhalten, das den Namen trägt Vision One Probefahrt .
5. Cynet 360 AutoXDR-Plattform
Cynet 360 AutoXDR-Plattform umfasst eine Threat-Hunting-Ebene, die Informationen über böswillige Aktivitäten von Drittanbieter-Tools vor Ort sammelt. Diese Plattform ist in der Cloud ansässig und es bietet mehrere Dienstprogramme, die den automatisierten Systemen vor Ort helfen, Bedrohungen zu erkennen.
Hauptmerkmale:
- Cloudbasiert
- Lokale Datensammler
- Täuschungstechniken
Zu den Bedrohungserkennungsdiensten von Cynet 360 gehören: Sandboxen und ein Honigtopf System, das Hackern einen gefälschten Teaser bietet und sie zu einer Analyseeinheit lockt.
Neben einer eigenen Forschungslaborstruktur bietet das Autonomer Schutz vor Sicherheitsverletzungen Das System in Cynet 360 sammelt lokale Informationen über Agenten in einem Netzwerk namens Sensorfusion . Der Threat-Hunting-Prozess wird bereitgestellt Analyse des Benutzer- und Entitätsverhaltens (UEBA), um die Absicht des regulären Geschäftsverkehrs im Netzwerk zu bewerten und böswillige Aktivitäten durch SOAR zu blockieren.
Vorteile:
- Anomaliebasierte Bedrohungssuche mit UEBA für das Baselining
- STEIGEN
- Gedächtnisforensik
Nachteile:
- Kein Protokollmanager
Cynet bietet eine 14-tägige kostenlose Testversion der AutoXDR-Plattform.
6. Exabeam Fusion
Exabeam Fusion ist eine Cloud-Plattform mit Vor-Ort-Agenten, die implementiert Erkennung, Untersuchung und Reaktion von Bedrohungen (TDIR). Das Paket kann als XDR oder SIEM betrieben werden. Das Tool bezieht Quelldaten von seinen Agenten vor Ort, um sie in das Tool einzuspeisen Bedrohungserkennung Modul, das in der Cloud betrieben wird.
Hauptmerkmale:
- Anomaliebasierte Bedrohungssuche
- UEBA
- Compliance-Berichterstattung
Der Bedrohungsjagddienst Exabeam Fusion nutzt die darauf aufbauende Anomalieerkennung UEBA für Aktivitäts-Baselining. Der Dienst kann auf spezifische Anforderungen von Datenschutzstandards zugeschnitten werden und erstellt dann auch automatisch Compliance-Berichte.
Das System verlässt sich auf Protokollinformationen für Quelldaten und kann über eine Bibliothek direkt mit einer Liste von Softwarepaketen verbunden werden Anschlüsse . Der Dienst konsolidiert und speichert außerdem Protokolle für die manuelle Bedrohungsanalyse und Compliance-Prüfung.
Vorteile:
- Sammelt Aktivitätsdaten aus Anwendungen
- Untersucht Protokolldateien von Betriebssystemen
- Protokollverwaltung
Nachteile:
- Endpunkte sind nicht geschützt, wenn sie vom Netzwerk getrennt werden
Sie können Exabeam Fusion mit bewerten eine Demo .
7. Rapid7 InsightIDR
Rapid7 ist eine Cloud-Plattform mit Cybersicherheitsmodulen. Sie wählen aus dem Optionsmenü die gewünschten Dienste aus und diese Pakete werden zusammengestellt. Das Cloud-System heißt Rapid7-Einblick und das XDR-Paket auf dieser Plattform wird aufgerufen InsightIDR – IDR steht für „ Erkennung und Reaktion von Vorfällen ” und es kann auch als SIEM der nächsten Generation verwendet werden.
Hauptmerkmale:
- SIEM
- Bedrohungsinformationen
- Sowohl anomalie- als auch signaturbasiert
Für den InsightIDR-Dienst müssen Agenten auf geschützten Endpunkten installiert sein. Die hochgeladenen Protokolle, die von diesen Agenten gesammelt werden, liefern das Quellmaterial dafür SIEM Durchsuchen und sie werden auch in Protokolldateien für die manuelle Bedrohungssuche und Compliance-Prüfung gespeichert.
Rapid7 stellt einen Threat-Intelligence-Feed für den Threat-Hunting-Dienst bereit, der als „Threat Intelligence“ bezeichnet wird Analyse des Angriffsverhaltens (ABA) Modul. Dieses ABA-System basiert auf Signaturen, interagiert jedoch mit anomaliebasierten UEBA-Suchen, um eine kombinierte Strategie zur Bedrohungssuche bereitzustellen.
Vorteile:
- Schnelle Bedrohungssuche dank Triage auf der Grundlage von Bedrohungsinformationen
- Verwendet UEBA
- Automatisierte Antworten
Nachteile:
- SOAR kostet extra
Ein weiteres auf der Insight-Plattform verfügbares Paket ist Insight Connect , was die Fähigkeiten von InsightIDR um das Hinzufügen erweitert STEIGEN Anschlüsse.
Sie können Rapid7 InsightIDR mit bewerten eine 30-tägige kostenlose Testversion .