DNSEye обнаруживает вредоносный трафик в вашей сети и формирует отчет о возможности его блокировки другими вашими решениями безопасности.
Почему важна видимость DNS?
С помощью защиты на уровне DNS, вы можете предотвратить атаки, но без возможности обнаружить фактическое устройство, которое генерирует вредоносный трафик. IP-адреса клиентов различаются, поэтому они не подходят для обратной проверки. Они должны постоянно обогащаться информацией о компьютерах и пользователях. Видимость DNS позволяет определить устройство и пользователя, которые генерируют связанные DNS-запросы. Эта фактическая информация об устройстве и пользователе очень важна для команд SOC.
Каковы преимущества ваших интеллектуальных SIEM-интеграций?
Вместо того, чтобы пересылать все данные DNS в SIEM, мы можем пересылать в SIEM только запросы от вредоносных доменов, с информацией о пользователе и компьютере. Таким образом, мы можем сократить количество корреляций, требуемых в устройстве SIEM, и количество EPS более чем на 95%. Это сокращение обеспечивает значительное снижение стоимости лицензии на SIEM-продукт.
Какие продукты DNS вы считываете с помощью продукта DNSeye?
Microsoft DNS Server, Linux BIND Server, F5, CITRIX Netscaler, Efficient IP, Bluecat и другие распространенные типы DNS-серверов
Как работает технология Security Gap?
Security Gap сообщает о вредоносном трафике, который существующие средства безопасности (брандмауэр UTM, прокси-сервер, DNS-брандмауэр и т.д.) не могут обнаружить.
Security Gap имитирует подключение к вредоносному домену для проверки безопасности в сети 3 различными способами:
1- Тест с DNS-запросом с существующего DNS-сервера
2- Тест с HTTP/HTTPS-запросом через прокси-сервер
3- Тесты доступа к вредоносному домену с прямым подключением HTTP/HTTPS через шлюз.
VM-решение DNSEye в вашей сети отправляет вредоносный запрос на подключение к облачной службе моделирования вредоносных программ Roksit с определенными метаданными.
Security Gap = Blocked, вредоносный трафик заблокирован;
Когда служба моделирования Roksit не получает метаданные, что означает блокировку вредоносного соединения системой безопасности, будет зафиксирован факт блокировки атаки вместе с информацией о том, какое устройство (прокси или UTM) успешно заблокировало вредоносный трафик.
С какими продуктами SIEM у вас есть интеграция?
В дополнение к нашей прямой интеграции с такими продуктами, как IBM Qradar, Microsoft Archsight и SPLUNK, у нас также есть интеграция с любым из ваших SIEM-продуктов, отправляющим данные в формате системного журнала (SYSLOG).