В сфере обеспечения информационной безопасности особой популярностью пользуется развивающаяся система руководства аномалиями Cisco Threat Response (CTR). Данный продукт прекрасно интегрируется с программой выявления аномальной активности в сети Stealthwarch Enterprise.
При этом пользователям не нужно платить за использование продуктовой линейки первое время пользование абсолютно бесплатно. Интегрированные сервисы позволяют быстро и без особых сложностей найти подозрительную активность, локализовать и ликвидировать ее.
Преимущества интеграции CTR и Stealthwarch Enterprise
Использование сразу двух систем позволяет найти ответы на такие вопросы, как причина возникновения аномалии, что служит источником инцидента, самостоятельно ли регулируются проблемы или являются частью крупного вмешательства и т.д. Получая информацию от Stealthwarch Enterprise, тревожные сигналы проверяются и сопоставляются с другими средствами защиты.
Использование Cisco Threat Response – отличное решение при отсутствии SIEM. Аналитический продукт автоматически сопоставляет инциденты и обогащает их информацией из других источников с отображением масштабности проблемы, путей их развития. Особенность системы заключается в том, что через нее можно сразу реагировать на аномалии, отправляя команды, ликвидирующие атаки.
Как работает принцип интеграции
Все сведения об аномальной активности, отслеживаемые Stealthwarch, отправляются в Cisco Threat Response Incident Manager. Это позволяет отслеживать события в режиме реального времени, которые получаются от других системных решений Cisco:
- Firepower;
- AMP for Endpoints;
- Threat Grid;
- Umbrella;
- Email Security и т.д.
Программа Security Insight Dashboard позволяет определить отдельные интересующие службу информационной безопасности инциденты, направляемые в CTR. Пользователь таким образом защищает конфиденциальную информацию, минимизируя риски. Дополнительные защитные средства дополняют полученную информацию добавочным контентом. Примечательно, что интегрировать продукты можно и в противоположном направлении.
Особенности использования CTR
Данный продукт нередко используется, как интеграционный туннель между иными продуктовыми линейками Cisco, которые не интегрированы со Stealthwarch Enterprise. При выявлении подозрительного контента запрашивается дополнительная информация, связанная с IP, находящаяся в AMP for Endpoints.
Интерфейс Stealthwarch Enterprise совместим с плагинами Casebook, что положительно сказывается на автоматизации процесса вычленения компрометационных индикаторов. Интересные события, вся информация, связанная с происшествием, проникновением в информационное поле, направляется в специальное хранилище (карточку). Сведения пополняются другими защитными средствами, интегрирующимися с Cisco Threat Response.
Данный продукт направлен на расширение спектра возможностей устранения и нейтрализации угроз, блокируемых программами на конкретных узлах системы. Для этого используются защитные средства Cisco Umbrella, Firepower и др.
Cisco Threat Response расширяет возможности анализа получаемых данных о сетевой телеметрии, позволяет проводить самостоятельное расследование аномальной активности. Это положительно сказывается на скорости и результативности выяснения такой информации, как начало атаки, нахождение источника угрозы, целенаправленность вмешательства. Таким образом, технологии информационной безопасности от Cisco сокращают время и усилия, затрачиваемые на изучение аномальной активности, что делает защитные операции максимально эффективными.