Wichtige Leistungsmerkmale von Security Analytics

Symantec Security Analytics ist eine leistungsstarke Lösung, die Incident-Response-Teams wirkungsvoll bei der Abwehr aktueller Bedrohungen unterstützt. Dank einer Fülle ausgezeichneter Technologien und einem breiten Funktionsumfang stellt Security Analytics detaillierte Informationen zu Quelle und Umfang jeder Bedrohung oder jedes Angriffs auf Ihre Informationsressourcen bereit – und verkürzt nachhaltig die benötigte Zeit für lückenlose forensische Analysen im Netzwerk.

Übersichtsansicht

Mit Security Analytics sind Sie in der Lage, für jeden Anwendungsfall je nach Incident-Response-Workflow mehrere passgenaue Ansichten zu erstellen. Dabei lässt sich die von Ihnen ausgewählte Darstellung jederzeit flexibel um Widgets erweitern, um zusätzliche Zahlen in Tabellenform oder als Torten-, Balken- oder Säulendiagramm einzubinden. Definieren Sie für jeden Anwendungsfall eine neue Darstellung. Und unabhängig davon, für welche Darstellungsform Sie sich entscheiden: In der Übersichtsansicht werden alle relevanten Informationen zum Netzwerk für Sie auf einer einzigen Seite zusammengefasst.

Aktive Berichte

Die Berichtsfunktionen von Security Analytics bieten Ihnen einen detaillierten, umfassenden Einblick in den Netzwerk-Traffic. Ihre Nutzer haben so die Möglichkeit, schneller auf Vorfälle zu reagieren und evasive Exploits und komplexe Malware zuverlässig zu erkennen. Berichte sind eine wichtige Navigationshilfe. Gerade Neueinsteiger können damit wesentlich schneller und mit höherer Treffergenauigkeit auf gesuchte Daten zugreifen. Die Berichte umfassen die folgenden Kategorien:

  • Anwendungen
  • DNS
  • E-Mail-Aktivität
  • Verschlüsselung
  • Dateien
  • Geolokalisierung
  • Netzwerkpakete
  • Online-Persona
  • Threat-Informationen
  • Web-Aktivitäten

Extraktion von Artefakten

Um Sie durchgehend über den Status und die Vorgänge in Ihrem Netzwerk auf dem Laufenden zu halten, ist Security Analytics in der Lage, vergangenen Netzwerk-Traffic jederzeit exakt zu rekonstruieren. So erhalten Sie aussagekräftige, schlüssige Beweise. Weil jedes Paket erfasst und klassifiziert wird, lassen sich Dateien jederzeit schnell und komfortabel wieder in ihrem ursprünglichen Format rekonstruieren. Sehen Sie Websites an, wie sie der Benutzer gesehen hat. Analysieren Sie Instant-Messaging- und E-Mail-Konversationen. Rekonstruieren Sie PDFs, Word-Dokumente, PPTs, Excel-Tabellen und viele weitere Dateiformate. Überwachen Sie die Vorgänge auf einem Host oder einem individuellen Rechner und erhalten Sie klare, aussagekräftige Beweisketten statt fragmentierter Paketsammlungen. In einer Artefakten-Zeitleiste (Artifacts Timeline) wird ein Histogramm mit Netzwerk-Artefakten für einen bestimmten Zeitraum anzeigt. Incident-Response-Spezialisten können damit eine Abfolge von Ereignissen schnell visualisieren und so die Suche nach Artefakten deutlich beschleunigen.

Extraktion von Artefakten

Artefakt-Vorschau

Zusammen mit der Möglichkeit, Netzwerk-Traffic in seine Artefakte zu rekonstruieren, bietet Security Analytics auch eine Vorschaufunktion. Damit lassen sich Inhalte auf verschiedene Weise anzeigen, z. B. können Webseiten in der Vorschau so dargestellt werden, wie sie dem Nutzer angezeigt wurden, oder VoIP-Aufzeichnungen können als Audiodatei abgespielt werden. Darüber hinaus sind je nach Inhalt, der rekonstruiert wird, zahlreiche weitere Formate vorhanden.

Anwendungsklassifizierung

Analysieren Sie die Vorgänge im Netzwerk, indem Sie tief in die Paketdaten hineinblicken und dort gezielt nach Hinweisen für bösartige Aktivitäten suchen. Symantec Security Analytics klassifiziert mehr Anwendungen im Netzwerk als die meisten anderen Netzwerkforensik-Lösungen. Um Ihnen eine einfache Suche und Wiederherstellung zu ermöglichen, werden über 3.100 Anwendungen und Tausende von Attributen erkannt und indexiert. Sie können im Netzwerk-Traffic also nicht nur spezifische Anwendungen finden, sondern den Netzwerk-Datenstrom auch gezielt nach Metadaten wie An, Von, Betreff, Protokoll, Tunnel-Urheber, gewählter MIME-Typ, Detected (Nr.), Dateityp und vielen mehr durchsuchen.

Anwendungsklassifizierung

Von Nutzern auswählbare Metadaten

Durch Auswahl eines Kontrollkästchen lassen sich Hunderte von Metadaten-Typen und damit verknüpfte Berichte mühelos aktivieren oder deaktivieren. Systeme können so für die Umgebung optimiert werden, in der sie bereitgestellt werden. Manchmal müssen Sie einfach nur sehr schnell Rohdaten mitschneiden – ohne diese in irgendeiner Form mit Metadaten anzureichern. Auch das lässt sich mit Security Analytics realisieren. Die Lösung erlaubt es Ihnen, auf einer Appliance die Anreicherung der Daten selektiv abzuschalten und dafür die Leistung der Erfassung nachhaltig zu steigern.

Von Nutzern auswählbare Metadaten

Symantec Intelligence Services

Der gesamte von der Symantec Security Analytics Appliance erfasste Traffic wird nach bekannten Web-, E-Mail- und dateibasierten Bedrohungen durchsucht. Security Analytics ist nahtlos in das Symantec Global Intelligence Network integriert und nutzt Intelligence Services for Security Analytics für den Zugriff auf die von 175 Millionen Endgeräten bereitgestellten Threat-Informationen zu Milliarden von Web- und URL-Bedrohungen. 

Blue Coat Intelligence Services

Reputations-Services/Datenanreicherung

Der gesamte von der Symantec Security Analytics Appliance erfasste Traffic wird nach bekannten Web-, E-Mail- und dateibasierten Bedrohungen durchsucht. Security Analytics ist nahtlos in das Symantec Global Intelligence Network integriert und nutzt Intelligence Services for Security Analytics für den Zugriff auf die von 175 Millionen Endgeräten bereitgestellten Threat-Informationen zu Milliarden von Web- und URL-Bedrohungen. Unbekannte Inhalte können zur weiteren Untersuchung und Ausführung in einer Sandbox-Umgebung an Content Analysis weitergeleitet werden. Security Analytics liefert zudem On-Demand Reputations-Prüfungen verschiedener vertrauenswürdiger Threat-Intelligence-Anbieter, darunter:

  • VirusTotal
  • Google Safebrowse
  • Domain Age
  • RobTex
  • Team Cyrmu
  • LastLine
  • SORBS
  • YARA
  • WHOIS

Indikatoren / Regeln

Indikatoren beobachten und identifizieren bestimmte Aktivitäten mithilfe einer strukturierten Sprache. Nutzen Sie integrierte Metadaten-Attribute, automatisch aktualisierte Indikatordaten anderer Anbieter oder benutzerdefinierte Updates aus nahezu jeder Quelle.

Mithilfe von Regeln können Sie Warnmeldungen und Routineaufgaben für zusätzliche Analysen auf der Grundlage von Indikatoren automatisieren. Exportieren Sie beispielsweise Daten automatisch in eine PCAP-Datei, ergänzen Sie gespeicherte Metadaten oder senden Sie sie an File Shares oder analysieren Sie Daten mit Tools anderer Anbieter wie DLP- oder Endgerätelösungen. Passen Sie die Benachrichtigungsintervalle an die Anforderungen Ihres Incident-Response-Teams und Ihrer unternehmensinternen Prozesse an.

Indikatoren / Regeln

Dashboard für Warnmeldungen

Um Ihnen gleich auf den ersten Blick einen lückenlosen Überblick über die Aktivitäten in Ihrem Netzwerk und die wichtigsten Warnmeldungen zu liefern, zeigt das Web-Interface von Security Analytics standardmäßig zunächst das neue Alerts Management Dashboard an. Diese neue Ansicht umfasst ein Histogramm aller Warnmeldungen sowie neue "Alarmkarten", über die Sie einfach und bequem zu vorgefilterten Warnmeldungslisten und deren Bedrohungsbewertungen gelangen. Auf dieser Seite können Sie Ihre Warnmeldungen außerdem nach IP, Indikator oder Threat-Level filtern.

Dashboard für Warnmeldungen

Packet Analyzer

Für diejenigen, die ein gutes Paket zu schätzen wissen (und welche Incident-Response-Teams tun das nicht), jedoch nicht zahllose Analyseschritte ausführen möchten, stellt Security Analytics einen Packet Analyser mit vollem Funktionsumfang direkt in der Appliance bereit. Es müssen also nicht mehr riesige Dateien über das Netzwerk übertragen werden, nur um dann festzustellen, dass die gesuchten Pakete nicht darin enthalten sind. Nutzen Sie Wireshark-Filtersyntax und führen Sie detaillierte Analysen bequem in der Security Analytics-Benutzeroberfläche aus. Gefilterte Ergebnisse lassen sich mit nur einem Klick anzeigen. Eine ausgesprochen leistungsstarke Funktion!

Packet Analyzer

Anomalie-Erkennung

Zu den innovativsten Funktionen der Lösung gehört die neue Anomalie-Erkennung. Sie wertet Ihre erfassten Daten statistisch aus und benachrichtigt Sie automatisch über ungewöhnliche Vorkommnisse. Wenn Sie von der Warnmeldung zur Anomalie-Untersuchung wechseln, sehen Sie sofort, wann und wie oft sich die Anomalie ereignet hat, und welche Endgeräte davon betroffen waren.

Anomalie-Erkennung

PCAP-Import

Umfangreiche Analysen in Security Analytics können für PCAP-Dateien aus anderen Quellen, die ggf. bereits in Ihrem Unternehmen vorhanden sind, ausgeführt werden. Außerdem können Sie verfügbaren Security Analytics-Speicher optimieren, indem Sie erfassten Netzwerkdatenverkehr als PCAP-Dateien auf externen Speicher exportieren, um sie zu einem späteren Zeitpunkt nach Bedarf zu importieren und zu analysieren. Mithilfe der PCAP-Importfunktion können forensische Analysten und Incident-Response-Teams zudem detaillierte Informationen und Analysen aus PCAP-Dateien, die aus externen Quellen bereitgestellt werden, abrufen.

PCAP-Import

Nahtlose Integration

Symantec Security Analytics lässt sich nahtlos mit führenden Technologien für Netzwerksicherheit integrieren. Ihre vorhandenen Systeme können auf diese Weise zu jeder Warnmeldung die vollständigen Details auf Paketebene abrufen und sämtliche Artefakte vor, während und nach dem Alarm auswerten. Die offene, auf Webdiensten basierende REST API hilft Ihnen, das Potenzial von Technologien wie HP ArcSight, Splunk, IBM Qradar, Guidance, Countertack, Symantec ATP und vielen weiteren voll auszuschöpfen. Optimieren Sie Ihre Incident-Response-Workflows und behalten Sie den Überblick über Herkunft und Umfang des Angriffs.

Nahtlose Integration

Central Manager

Central Manager bietet eine zentrale Stelle für die Verwaltung sämtlicher Bereitstellungen von Security Analytics Appliance, VMs und Appliances mit hoher Speicherdichte. Dank des direkten Zugriffs auf alle Security Analytics-Sensoren können Such- und Managementaufgaben zielgerichtet und für den gesamten Datenverkehr durchgeführt werden, ohne dass eine große Menge von Daten repliziert werden muss. Central Manager unterstützt über 200 Sensoren, sodass Incident-Response-Teams mühelos effiziente und umfassende globale Untersuchungen innerhalb des gesamten Unternehmens durchführen können.

Central Manager

Mediensteuerung

Nichts ist so aussagekräftig wie ein Bild. Wenn Sie versuchen, Internetnutzungsrichtlinien umzusetzen, können Sie auf einen Blick erkennen, welche Bilder über Ihr Netzwerk übertragen werden und wer sie sich ansieht. Mithilfe der Mediensteuerung (Media Panel) können Sie alle Bild- und Audiodateien schnell anzeigen und analysieren. So sehen Sie genau das, was dem Nutzer angezeigt wurde. Filtern Sie Bilder nach Datei, Erweiterung oder Größe und zugehörigen Metadaten wie URL, Quell-/Ziel-IP-Adresse, Größe oder MIME-Typ. Ein Bild sagt mehr als tausend Worte und kann Details zu nicht genehmigten oder bösartigen Aktivitäten enthüllen.

Geolokalisierung

Security Analytics Geolocation zeigt Quelle und Ziel für den gesamten Netzwerkdatenverkehr an. Identifizieren Sie Muster und verstärkt auftretenden Traffic, der auf Ziele oder aus Quellen übertragen wird, die von der Norm abweichen. Zeigen Sie Hotspots mit hohem Aktivitätsaufkommen an, sehen Sie sich Detailinformationen zu bestimmten Pfaden an und kennzeichnen Sie IP-Adressen, Orte und selbst bestimmte Länder als verdächtig. Ungewöhnliche Traffic-Muster können ein Ausgangspunkt für weitere Untersuchungen sein und die Behebung von Sicherheitsvorfällen beschleunigen. Exportieren Sie Netzwerkdatenverkehr als .klm-Datei und importieren Sie diese in Google Earth. "Datenverkehr nach Nordkorea – da stimmt etwas nicht!"

Root Cause Explorer

Ermitteln Sie umgehend die genaue Ursache eines Angriffs, indem Sie HTTP-Referrer-Ketten automatisch nachverfolgen. Der Root Cause Explorer korreliert relevante E-Mail-, Sofortnachrichten- und HTTP-Informationen, sodass Sie schnell analysieren und erkennen können, wie die Bedrohung in das Netzwerk eingedrungen ist und welche Aktivitäten sie anschließend ausgeführt hat. Dazu meinte ein Nutzer: "Eine der zeitaufwändigsten Routineaufgaben meiner Arbeit ist jetzt nahezu so kinderleicht wie ein Tastendruck geworden... Das war einfach!"

Root Cause Explorer

SCADA

Industrielle Steuerungssysteme geraten immer öfter ins Visier von Cyberangriffen und müssen daher wie jedes andere System in Ihrem Netzwerk vollkommen transparent sein. Security Analytics unterstützt SCADA-Protokollanalysen und ermöglicht es Ihnen so, auch in industriellen Steuerungssystemen auf den vollen Leistungsumfang von Symantec Security Analytics zuzugreifen. Security Analytics überwacht Modbus- und DNP3-Protokolle, die häufig in den Steuerungsnetzen von Reaktoren, Wasseraufbereitungsanlagen, Kraftwerken, Ölraffinerien, Produktionsanlagen und vielen anderen Industriezweigen zum Einsatz kommen. SCADA-Attribute können unter anderem im Hinblick auf vorhandene Indikatoren, Regeln (und Benachrichtigungen) und Anomalien untersucht werden.

PCAP-Import

Dynamic Filtering

Traffic ist nicht gleich Traffic... und kann auch bösartig sein. Viele Incident Response-Teams möchten Traffic, den sie als nicht bedrohlich ansehen, nicht aufzeichnen, um die verfügbare Speicherkapazität priorisiert und effizienter auszunutzen – und das Potenzial ihrer Investitionen optimal auszuschöpfen. Security Analytics ermöglicht es Ihnen, Pakete selektiv zu filtern und regelbasiert von der Erfassung auszunehmen. Auf diese Weise speichern Sie weder Musik- und Video-Streams noch Videokonferenzen und ähnliche Inhalte. Im Umkehrschluss steht Ihnen mehr Speicherplatz zur Verfügung, um kritische Datenströme über ein deutlich längeres Zeitfenster hinweg zu erfassen.

Dynamic Filtering

Filterung und Wiedergabe von Traffic

Filtern Sie ein- und ausgehenden Datenverkehr nach Protokoll, IP-Adresse, MAC-Adresse, Payload-Typ oder spezifischem Bit-Muster. Die Filterung kann auf der Header- oder Payload-Ebene erfolgen. Filtern Sie den Datenverkehr mithilfe mehrerer Filter, wobei Filter jederzeit während der Erfassung von Traffic aktiviert und deaktiviert werden können. Filter können zudem im BPF (Berkley Packet Filter)-Standardformat importiert werden. Geben Sie erfassten Datenverkehr in anderen Tools wieder, um ihre Effektivität zu beurteilen, nachdem sie mit neuen Signaturen oder Bedrohungsinformationen aktualisiert wurden. Durch die Wiedergabe von älterem Datenverkehr in aktualisierten Tools können Sie feststellen, ob Ihr Netzwerk infiziert wurde, bevor diese neue Bedrohung klassifiziert wurde. Nur Symantec Security Analytics bietet diesen hohen Grad an Kontrolle und damit die Flexibilität, den Datenverkehr, der Ihrer Meinung nach für Ihre Untersuchungen am relevantesten ist, zu erfassen und weiterzuleiten.

Filterung und Wiedergabe von Traffic

Vergleichsberichte

Vergleichen Sie erfassten Netzwerkdatenverkehr mit früheren Zeiträumen, um ungewöhnliche Muster zu erkennen. Schaffen Sie eine Vergleichsbasis, sodass Sie Abweichungen leicht aufzeigen und melden können. Vergleichsberichte helfen Ihnen, langfristige Trends besser zu verstehen und zu entscheiden, ob weitere Untersuchungen erforderlich sind.

Vergleichsberichte

Leistung / Skalierung

Symantec Security Analytics Appliances erfassen alle Daten, die durch Ihr Netzwerk fließen (Packet-Header und Payload). Damit erhalten Sie eine umfassende und forensisch intakte Aufzeichnung sämtlicher Netzwerkaktivitäten. Security Analytics Appliances erfüllen die harten Anforderungen der größten Behörden- und Unternehmensnetzwerke, rekonstruieren und liefern jedoch zugleich echte Dateien aus mehreren Terabyte an rohen Paketdaten.

Flexible Bereitstellungsoptionen reichen von Appliances für kleine Büros und Niederlassungen bis hin zu dedizierten10-GB-Appliances mit hoher Speicherdichte, die erweiterbaren Speicher für moderne Hochleistungsnetzwerke bereitstellen. Symantec Security Analytics bietet zudem die Möglichkeit, die Appliance als virtuelle Appliance bereitzustellen. Große Unternehmen mit umfangreichen Netzwerken haben sich für Symantec als eine der wenigen Lösungen entschieden, die ihre gegenwärtigen – und zukünftigen – Anforderungen an Incident Response und moderne Netzwerkforensik erfüllt.

Security Analytics empfängt Datenverkehr passiv von einem Tap oder SPAN und ist daher für das übrige Netzwerk nicht sichtbar. Da Traffic mit Leitungsgeschwindigkeit erfasst wird, wird die Netzwerklatenz nicht zusätzlich erhöht.

Leistung / Skalierung

Langfristige Aufbewahrung von Metadaten

Optimieren Sie den auf Ihrer Symantec Security Analytics Appliance verfügbaren Speicher und bewahren Sie forensische Daten für einen längeren Zeitraum auf. Richten Sie unabhängige Speicherzuordnungen für Metadaten und vollständige Pakete ein. Auf diese Weise können Sie den Zeitraum für die Aufbewahrung und Analyse von Metadaten und Paketen ausdehnen – auf Wochen, Monate oder länger. Damit erhalten Sie eine langfristiges Zeitfenster für Trendanalysen und können die begrenzte Speicherkapazität optimal nutzen.

Langfristige Aufbewahrung von Metadaten