没有更多的旋转主席调查。
所有安全团队的损失是一个假的积极结合,很少或没有信息来诊断它。即使是最简单的警报也可能需要通过多个系统,数据库,日志和报告耗时的搜索,以便到达分析师了解(或没有)发生并制定响应的点。从业者称这个“旋转椅调查”。(观看视频。)
Gartner发布了这一点网络流量分析市场指南(1)和包含的两个标准是,供应商“必须在实时或近实时分析原始网络分组业务或流量流量(例如,Netflow记录)”和“提供行为技术(非基于签名的检测),例如机器学习或高级分析,检测网络异常。“许多供应商已经找到了一种检查该框的方法。
在折磨安全行业的所有“AI洗涤”中可能错过了什么是调查支持。不幸的是,当你看看NTA供应商的精美印刷时,它们仍然在检测和短时间内进行后续行动。您可以通过Wireshark获取IP地址和一组数据包,但这是关于它的。
内省NTA。先进的检测和加速调查
HPE Aruba被列入其NTA内部的代表供应商,该公司正在处理数据包和NetFlow。我们有客户衡量30个小时的储蓄通过利用事件调查和反应来解决。
什么让我们分开?我们在攻击检测中投入尽可能多的攻击检测。因为我们已经建立了我们自己的深层数据包检查解决方案,我们不仅向ML模型提供丰富的数据包元数据,我们也可以轻松地重建网络对话而无需恢复数据包本身。想象一下,从警报开始,单击一下,查看所有类型流量的所有相关信息 - 查看HTTP流量中的所有请求和响应(按顺序!)。
并且,由于内部已建立在用户以用户为中心的平台上,因此分析师开始使用IP地址,但是用户与ANSER与ALERS相关联。总结到最大的交通洞察力和用户归属时间节省。
不要满足于ML类固醇的IDS
大多数NTA平台都看起来像传统的ID,带有机器学习(ml)粘贴在上面。与大多数IDS一样,它们产生了大量的误报,其中有一些有价值的警报。内部NTA在那些获得过去ID和其他传统防御的那些先进的攻击中,在自动“连接点”以了解安全团队以了解正在发生的事情并采取行动的那些高级攻击。
Gartner并未认可在其研究出版物中描述的任何供应商,产品或服务,并且不建议技术用户只选择具有最高评级或其他名称的供应商。Gartner研究出版物由Gartner的研究组织的意见包括,不应被解释为事实陈述。Gartner在这项研究方面免除所有保证,表达或暗示,包括任何保证或特定目的的担保或适应性。
(1)Gartner - 2019年2月28日的网络流量分析市场指南 - 劳伦斯奥兰斯,杰尔梅利D'Hoinne,Sanjit Ganguli
