UDV NTA — система выявления угроз безопасности на основе анализа сетевого трафика, которая позволяет видеть активность как на периметре, так и внутри сети.
Продукт помогает командам SOC и специалистам по ИБ выявлять подозрительную активность и предотвращать атаки до их завершения, минимизируя или полностью устраняя реальный нанесенный ущерб и повышая уровень ее безопасности.
ВОЗМОЖНОСТИ
- Регистрация сетевой активности при обходе периметровых средств защиты
- Выявление неавторизованных устройств в сети
- Обнаружение скрытых угроз, в том числе с применением методов машинного обучения
- Детализация сетевых событий ИБ за счет связи с глубоким разбором протоколов приложений
- Запись доказательств для расследования инцидентов как в виде копии сетевого трафика, так и передаваемых по сети файлов
- Проактивный поиск угроз за счет индексирования и фильтрации метаданных по специфичным для прикладных протоколов полям
АРХИТЕКТУРА РЕШЕНИЯ
Решение имеет иерархическую архитектуру из двух уровней: Management, в котором работает пользователь, и уровни Sensor, обрабатывающие трафик и предоставляющие необходимую информацию для пользователя.
- Нормализация и корреляция событий
- Формирование инцидентов и отображение панелей мониторинга
- Хранение метаданных сетевого трафика
- Централизованное управление сетью сенсоров
- Анализ сетевого трафика
- Разбор протоколов передачи данных
- Запись и хранение копии сетевого трафика
- Хранение полученных из сети файлов
Снижение нагрузки на SIEM за счет получения событий от конечных узлов или СрЗИ и корреляции данных событий с сетевой активностью
Снижение объема хранимой информации на UDV NTA уровня Management за счет выбора метаданных для хранения
Снижение объема хранимой информации на UDV NTA уровня Sensor за счет фильтрации записываемого трафика
Быстрый поиск в контексте протокола приложений с помощью представлений и фильтров по специальным полям
Повышение осведомленности о наличии конечных узлов в сети и их активности в реальном времени
