Time to start a new chapter!
We are delighted to announce our merger with our global operations’ brand, DNSSense, starting from April 10, 2023.
You can find all the information about Roksit at our new address, dnsssense.com
Welcome to the world of DNSSense!
.svg)
Экономия более 95% затрат на обработку журналов DNS, благодаря умной интеграции SIEM
Проблема
Журналы DNS приводят к большим лицензионным и временным затратам для компаний по двум основным причинам:
1. Журналы DNS-сервера создают самый высокий EPS в корпоративных сетях
Среднее количество мгновенных DNS-запросов может достигать 15 тысяч в типовой корпоративной сети с 10 тысячами пользователей. Такой высокий показатель обусловлен целым рядом факторов.
Например, при запросе обычной новостной веб-страницы выполняется примерно 70-100 DNS-запросов. Кроме того, даже когда устройства не используются, службы, работающие в фоновом режиме, продолжают генерировать DNS-запросы. Почтовые серверы также выполняют многочисленные DNS-запросы во время простой передачи электронной почты. Таким образом, каждое устройство в сети постоянно выполняет DNS-запрос для предоставления или получения интернет-услуг.
2. Необработанные журналы DNS непонятны
Журналы DNS содержат большое количество "сырых" данных, которые не имеют особого смысла, если их не обрабатывать. В журналах содержатся IP-адрес клиента и запрошенный домен, что не помогает анализу безопасности. Поскольку IP-адреса клиентов являются динамическими, ретроспективный анализ не всегда применим.
Кроме того, журналы не содержат никакой информации о содержимом или безопасности домена. Для анализа этих журналов в таком большом объеме требуется корреляция c SIEM. Кроме того, обработанные домены уже известны, как безопасные, и каждый дополнительный процесс корреляции увеличивает стоимость SIEM и отнимает время команды SOC.
Решение Roksit
Roksit снижает затраты на обработку журналов SIEM двумя способами:
1. Устраняет необходимость в корреляции с SIEM
Ретроактивная проверка возможна путем обогащения журналов DNS постоянными данными, такими, как имя устройства, имя пользователя и MAC-адрес, вместо того, чтобы просто полагаться на переменные IP-адреса клиентов. Для достижения этой цели журналы безопасности DHCP, DNS и AD в SIEM должны быть сопоставлены по правилам. В результате команды SOC будут иметь доступ к такой информации, как определение какому пользователю принадлежит заданный IP-адрес клиента, Mac-адрес и имя хоста в указанный день и дату, а также связанные DNS-запросы. После ознакомления с этими источниками журналов в нашем продукте Roksit DNSEye, Roksit выполняет эту корреляцию автоматически без корреляции SIEM.
2. Использование Roksit для уменьшения количества EPS, отправляемых в SIEM
Журналы DNS не имеют никакой информации о содержимом или безопасности домена. Кроме того, подавляющее большинство журналов содержит надежные и часто используемые домены, такие, как Google, Facebook и WhatsApp, и эта информация не нуждается в обработке SIEM.
Roksit использует Cyber X-Ray - систему классификации на базе искусственного интеллекта, чтобы отличать безопасные домены от вредоносных или подозрительных доменов, а затем отправляет в SIEM только необходимые данные.
- Существующие средства безопасности не обнаруживают вредоносный трафик;
- Сеть запрашивает домен в первый раз;
- Аномалии напоминают туннелирование DNS и эксфильтрацию данных.
