Decken Sie Lücken in Ihrer Microsoft Identity Security auf.
Buchen Sie noch heute eine Analyse der Identitätslücke.
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Thema

SOC Sichtbarkeits-Dreiklang

Die SOC Visibility Triade, bestehend aus Network Detection and Response (NDR), Endpoint Detection and Response (EDR) und Security Information and Event Management (SIEM), stellt einen strategischen Ansatz dar, um einen umfassenden Einblick in die digitale Landschaft eines Unternehmens zu erhalten.
  • Unternehmen, die NDR-, EDR- und SIEM-Lösungen integrieren, haben eine um 50 % schnellere Reaktion auf Cyber-Vorfälle gemeldet. (Quelle: Gartner)
  • 80 % der erfolgreichen Sicherheitsverletzungen betreffen privilegierte Zugangsdaten, was die Notwendigkeit einer umfassenden Überwachung von Netzwerken und Endgeräten unterstreicht. (Quelle: Forrester)

Sieht Ihr Security Operation Center laufende Angriffe?

Wie die beispiellose Cyberkriminalität zeigt, haben herkömmliche Sicherheitsvorkehrungen ihre Wirksamkeit verloren. Bedrohungen sind heimlich, agieren über lange Zeiträume, verbergen sich im verschlüsselten Datenverkehr oder in Tunneln. Angesichts dieser immer raffinierteren Bedrohungen benötigen Sicherheitsteams einen schnellen Überblick über die Bedrohungen in ihren Umgebungen.

Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response", der am 18. März 2019 veröffentlicht wurde (ID: G00373460), stellten Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor.

In dieser Notiz rät Gartner:

"Die zunehmende Raffinesse der Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung und Bekämpfung von Bedrohungen nutzen. Netzwerkbasierte Technologien ermöglichen es technischen Fachleuten, sich schnell einen Überblick über die gesamte Umgebung zu verschaffen, ohne Agenten einsetzen zu müssen."
Der SOC-Visibility-Dreiklang nach Gartner
Quelle: Gartner, Applying Network-Centric Approaches for Threat Detectionand Response, Augusto Barros et al., March 18, 2019, ID G0037346

Warum braucht Ihr SOC den Sichtbarkeitsdreiklang?

Der Studie zufolge "lassen sich die modernen Instrumente für Sicherheitsoperationen auch mit einer Analogie zur 'nuklearen Triade', einem Schlüsselkonzept des Kalten Krieges, darstellen. Die Triade bestand aus strategischen Bombern, ballistischen Interkontinentalraketen (ICBMs) und U-Booten. Wie in der obigen Abbildung dargestellt, verfügt ein modernes SOC über eine eigene nukleare Triade der Sichtbarkeit, nämlich:

  1. SIEM/UEBA bietet die Möglichkeit, Protokolle zu sammeln und zu analysieren, die von der IT-Infrastruktur, den Anwendungen und anderen Sicherheitstools erzeugt werden.
  2. Endpoint Erkennung und Reaktion bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.
  3. Die netzzentrierte Erkennung und Reaktion (NTA, NFT und IDPS) wird durch die in dieser Untersuchung behandelten Tools zur Erfassung und/oder Analyse des Netzverkehrs ermöglicht.

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Die Rolle der Netzerkennung und -reaktion

Netzwerk-Metadaten sind die zuverlässigste Quelle für die Suche nach Bedrohungen. Nur der Datenverkehr auf der Leitung offenbart versteckte Bedrohungen mit absoluter Genauigkeit und Unabhängigkeit. Quellen mit geringer Auflösung, wie z. B. die Analyse von Protokollen, zeigen Ihnen nur, was Sie gesehen haben, nicht aber die grundlegenden Verhaltensweisen der Bedrohung, die Angreifer beim Ausspähen, Verbreiten und Stehlen einfach nicht vermeiden können.

Eine NDR-Lösung sammelt und speichert wichtige Netzwerk-Metadaten und ergänzt sie mit maschinellem Lernen und fortschrittlichen Analysen, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NDR erstellt Modelle, die das normale Verhalten widerspiegeln, und reichert die Modelle mit Echtzeit- und historischen Metadaten an.

NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk. Laufende Angriffe werden erkannt, priorisiert und mit kompromittierten Host-Geräten in Verbindung gebracht.

NDR bietet einen unternehmensweiten 360-Grad-Blick - von öffentlichen cloud und privaten Rechenzentrums-Workloads bis hin zu Benutzer- und Internet-of-Things-Geräten.

> Lesen Sie mehr über die Network Detection and Response-Lösung von Vectra AI

Die Rolle von endpoint Aufdeckung und Reaktion

Endpoint Kompromittierungen sind nur allzu häufig, sei es durch malware, ungepatchte Schwachstellen oder unaufmerksame Benutzer. Mobile Geräte können in öffentlichen Netzen leicht kompromittiert und dann wieder mit dem Unternehmensnetz verbunden werden, wo sich die Infektion ausbreitet. Internet-of-Things (IoT)-Geräte sind notorisch unsicher.

Eine EDR-Lösung bietet ausgefeiltere Funktionen als herkömmliche Antivirenlösungen und ermöglicht eine detaillierte Verfolgung bösartiger Aktivitäten auf einem endpoint oder einem Host-Gerät. EDR bietet einen Echtzeit-Überblick über die auf einem Host oder Gerät laufenden Prozesse und deren Interaktionen.

EDR erfasst die Ausführung, Speicheraktivitäten sowie Systemänderungen, Aktivitäten und Modifikationen. Diese Transparenz hilft Sicherheitsanalysten, Muster, Verhaltensweisen, Anzeichen für eine Gefährdung oder andere versteckte Hinweise zu erkennen. Diese Daten können mit anderen Sicherheitsinformationen abgeglichen werden, um Bedrohungen zu erkennen, die nur vom Inneren des Hosts aus sichtbar sind.

> Vectra AI's Integrationen mit EDRs

Die Rolle von SIEM im Unternehmen

Seit Jahrzehnten verlassen sich Sicherheitsteams auf SIEMs als Dashboard für Sicherheitsaktivitäten in ihrer gesamten IT-Umgebung. SIEMs sammeln Ereignisprotokollinformationen von anderen Systemen, bieten Datenanalyse, Ereigniskorrelation, Aggregation und Berichterstattung.

Die Integration von Bedrohungserkennungen aus EDR und NDR kann ein SIEM zu einem noch leistungsfähigeren Tool machen, das es Sicherheitsanalysten ermöglicht, Angriffe schneller zu stoppen. Wenn ein Vorfall eintritt, können Analysten die betroffenen Host-Geräte schnell identifizieren. Sie können leichter untersuchen, um die Art des Angriffs und den Erfolg des Angriffs festzustellen.

Ein SIEM kann auch mit anderen Netzwerksicherheitskontrollen wie Firewalls oder NAC-Durchsetzungspunkten kommunizieren, um sie anzuweisen, bösartige Aktivitäten zu blockieren. Mit Threat Intelligence-Feeds können SIEMs auch proaktiv Angriffe verhindern.

> Vectra AI's Integrationen mit SIEMs

Die SOC Visibility Triad: ein integrierter Ansatz zum Auffinden und Stoppen von Cyberangriffen

Sicherheitsteams, die den Dreiklang aus NDR, EDR und SIEM einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen ein breiteres Spektrum an Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten:

  • Hat sich ein anderes Objekt nach der Kommunikation mit dem potenziell gefährdeten Objekt seltsam verhalten?
  • Welcher Dienst und welches Protokoll wurden verwendet?
  • Welche anderen Vermögenswerte oder Konten können betroffen sein?
  • Hat eine andere Anlage die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
  • Wurde das Benutzerkonto in unerwarteter Weise auf anderen Geräten verwendet?

Gemeinsam führen sie zu schnellen und gut koordinierten Reaktionen über alle Ressourcen hinweg, verbessern die Effizienz der Sicherheitsabläufe und reduzieren die Verweilzeiten, die letztlich das Risiko für das Unternehmen erhöhen.

Nationalstaaten und Kriminelle nutzen die Vorteile einer grenzenlosen digitalen Welt, aber durch die Einführung einer nuklearen Triade der Sichtbarkeit kann ein SOC die sensiblen Daten und lebenswichtigen Abläufe seines Unternehmens schützen.

‍Kontaktieren Sieuns noch heute , um zu erfahren, wie wir Sie bei der Umsetzung einer effektiven SOC Visibility Triad-Strategie unterstützen und die Cyberabwehr Ihres Unternehmens stärken können.

Alle Ressourcen über die SOC Visibility Triad

Infografik
Warum der Hype um ein SIEM der nächsten Generation?

In der Vergangenheit waren SIEM-Lösungen das Mittel der Wahl, um Angriffe vom Typ D/DDoS (Detecting Denial of Service) abzuwehren. Hybride Angriffe sind heute jedoch ausgefeilter denn je, und SIEMs können damit nicht Schritt halten.

Herunterladen
Mehr lesen
White Paper
Erstellen Ihres individuellen SOC-Upgrades

Aktualisieren Sie Ihr Security Operations Center mit diesem Whitepaper zur SOC-Modernisierung von Vectra AI, dem weltweit führenden Anbieter von Bedrohungserkennung und -abwehr.

PDF herunterladen
Mehr lesen
Leitfaden für bewährte Praktiken
SOC Visibility Triad - Das Nonplusultra der SOC Visibility

Wie die beispiellose Cyberkriminalität zeigt, haben herkömmliche Sicherheitsvorkehrungen ihre Wirksamkeit verloren. Bedrohungen sind heimlich, agieren über lange Zeiträume, verbergen sich im verschlüsselten Datenverkehr oder in Tunneln. Angesichts dieser immer raffinierteren Bedrohungen benötigen Sicherheitsteams einen schnellen Überblick über die Bedrohungen in ihren Umgebungen.

Herunterladen
Mehr lesen

Häufig gestellte Fragen

Was ist die SOC Visibility Triad?

Welche Rolle spielt die Endpoint Detection and Response (EDR)?

Warum ist die Integration von NDR, EDR und SIEM für SOCs wichtig?

Welchen Herausforderungen könnten sich SOCs bei der Einführung der Sichtbarkeitstrias gegenübersehen?

Kann die SOC Visibility Triad beim Compliance- und Risikomanagement helfen?

Welchen Beitrag leistet Network Detection and Response (NDR) zum Dreiklang?

Wie verbessert das Sicherheitsinformations- und Ereignis-Management (SIEM) die SOC-Fähigkeiten?

Wie können Sicherheitsteams die SOC Visibility Triad effektiv umsetzen?

Wie verbessert die SOC Visibility Triad die Erkennung von Bedrohungen und die Reaktionszeiten?

Welche zukünftigen Trends könnten die Entwicklung der SOC Visibility Triad beeinflussen?