Обновление «Гарда NDR» позволяет российским предприятиям оперативнее обнаруживать и нейтрализовывать киберугрозы, уменьшать нагрузку на специалистов и оптимизировать деятельность центров мониторинга безопасности. Новые средства автоматизации и графического представления данных укрепляют управление сетевыми рисками, ускоряют противодействие атакам и усиливают защищённость бизнеса от цифровых угроз. Об этом изданию CNews сообщили в компании «Гарда».
Проактивные возможности «Гарда NDR» стали более доступными благодаря фильтрации на основе матрицы MITRE ATT&CK. Платформа даёт возможность обнаруживать атаки по тактическим схемам, методикам и подметодикам, а также по сетевым адресам и логическим категориям. Такой метод помогает сотрудникам SOC точнее выдвигать предположения и оперативнее выявлять индикаторы сложных атак, таких как «латеральное перемещение». Усовершенствованные фильтры облегчают поиск угроз, сокращают усилия аналитиков и ускоряют реакцию на инциденты.
Добавленная функция экспорта журналов пользовательских действий и системных уведомлений в SIEM-системы повышает скорость расследований и качество аналитической работы. Теперь эксперты могут изучать события и воссоздавать полную картину атаки в едином пространстве, не переключаясь между различными платформами.
Расширенный функционал ретроспективного поиска по содержимому трафика позволяет быстро находить требуемые данные. Поддержка специальных последовательностей и работа с символами непосредственно из снимков трафика делают анализ гибким и наглядным. Специалисты могут моментально выгружать информацию для углублённого изучения в Wireshark, что ускоряет определение корневых причин инцидента и подготовку отчётности.
Улучшена защита инфраструктур Active Directory с помощью нового инструмента для выявления сложных атак, которые ранее могли оставаться незамеченными. Введённая функция декодирования команд протокола Kerberos устраняет уязвимость, использовавшуюся для скрытых атак – от подбора паролей до kerberoasting. Теперь «Гарда NDR» анализирует Kerberos-трафик для TCP и UDP, позволяя создавать виджеты и фильтры по параметрам протокола.
Точность машинного обучения также повысилась: усовершенствованные ML-модели лучше определяют аномалии и уменьшают число ложных тревог. Дополнительно внедрена возможность массового изменения политик и отслеживания сетевых показателей – задержек приложений и сетевых соединений, что способствует более точной оценке качества связи и реагированию на сетевые нарушения.
Для экономии времени первичного анализа и ускорения принятия решений по нейтрализации угроз раздел «Главная» теперь разделён на «Инциденты» и «События». Карточки инцидентов содержат сведения о классификаторах MITRE*, количестве уникальных событий и узлов для каждой политики безопасности. Аналитик сразу оценивает масштаб атаки и направления её распространения, без необходимости ручного сбора информации.
«Наша цель — обеспечить аналитиков максимальным объемом данных при минимальных усилиях с их стороны. В обновлении 4.3 мы уделили особое внимание автоматизации процессов, усовершенствованию поискового функционала и ликвидации пробелов в мониторинге. Это позволяет нашим клиентам быть уверенными, что каждая потенциальная угроза будет своевременно выявлена», – отметил Станислав Грибанов, руководитель продукта «Гарда NDR».
*MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), attack.mitre.org — это глобально признанная систематизированная база известных методов, приемов и тактических схем кибератак, оформленная в виде матричных таблиц.
