Обнаруживайте вредоносный трафик в вашей сети и получайте подробные отчеты.
Скачайте и установите VM-решение DNSeye уже сегодня
Оставить заявку
Защитите всех своих пользователей на уровне DNS от вредоносного содержимого Интернета с помощью искусственного интеллекта.
Бесплатная пробная версия на 14 дней
Попробовать бесплатно
Получите самую продвинутую динамическую аналитику киберугроз для углубленного доменного анализа.
Регистрация не требуется
Получить свой первый анализ
Решения по необходимости

Экономия более 95% затрат на обработку журналов DNS, благодаря умной интеграции SIEM

проблема

Журналы DNS приводят к ощутимым лицензионным и временным затратам для компаний по двум основным причинам:

1- Журналы DNS-сервера создают самый высокий EPS в корпоративных сетях

Среднее количество мгновенных DNS-запросов может достигать 15 тысяч в типовой корпоративной сети с 10 тысячами пользователей. Такой высокий показатель обусловлен целым рядом факторов.

Например, при запросе обычной новостной веб-страницы выполняется примерно 70-100 DNS-запросов. Кроме того, даже когда устройства не используются, службы, работающие в фоновом режиме, продолжают генерировать DNS-запросы. Почтовые серверы также выполняют многочисленные DNS-запросы во время простой передачи электронной почты. Таким образом, каждое устройство в сети постоянно выполняет DNS-запрос для предоставления или получения интернет-услуг.

2- Необработанные журналы DNS непонятны

Журналы DNS содержат большое количество "сырых" данных, которые не имеют особого смысла, если их не обрабатывать. В журналах содержатся IP-адрес клиента и запрошенный домен, что не помогает анализу безопасности. Поскольку IP-адреса клиентов являются динамическими, ретроспективный анализ не всегда применим.

Кроме того, журналы не содержат никакой информации о содержимом или безопасности домена. Для анализа этих журналов в таком большом объеме требуется корреляция c SIEM. Кроме того, обработанные домены уже известны как безопасные, и каждый дополнительный процесс корреляции увеличивает стоимость SIEM и отнимает время команды SOC.

Решения Roksit

Roksit снижает затраты на обработку журналов SIEM двумя способами:

1- Устраняет необходимость в корреляции с SIEM
Ретроактивная проверка возможна путем обогащения журналов DNS постоянными данными, такими как имя устройства, имя пользователя и MAC-адрес, вместо того, чтобы просто полагаться на переменные IP-адреса клиентов. Для достижения этой цели журналы безопасности DHCP, DNS и AD в SIEM должны быть сопоставлены по правилам. В результате команды SOC будут иметь доступ к такой информации, как определение какому пользователю принадлежит заданный IP-адрес клиента, Mac-адрес и имя хоста в указанный день и дату, а также связанные DNS-запросы. После ознакомления с этими источниками журналов в нашем продукте Roksit DNSEye, Roksit выполняет эту корреляцию автоматически без корреляции SIEM.

2 Использование Roksit для уменьшения количества EPS, отправляемых в SIEM
Журналы DNS не имеют никакой информации о содержимом или безопасности домена. Кроме того, подавляющее большинство журналов содержит надежные и часто используемые домены, такие как Google, Facebook и WhatsApp, и эта информация не нуждается в обработке SIEM.

Roksit использует Cyber X-Ray, систему классификации на основе искусственного интеллекта, чтобы отличать безопасные домены от вредоносных или подозрительных доменов, а затем отправляет в SIEM только необходимые данные.

Помимо перенаправления трафика в SIEM на основе категории доменов и других настраиваемых правил, Roksit также может предупреждать SIEM, когда:
  • Существующие средства безопасности не обнаруживают вредоносный трафик;
  • Сеть запрашивает домен в первый раз;
  • Аномалии напоминают туннелирование DNS и эксфильтрацию данных.
После этих фильтров количество DNS-журналов, отправляемых в SIEM, может быть уменьшено на 95-99%.