Home » Lösungen » EAGLE Managed Detection and Response

EAGLE Managed Detection and Response

Bedrohungen sofort erkennen. Krisenfall vermeiden.

Die Aggregation von Log- und Netzwerkverkehrsmetadaten sowie deren zeitnahe Analyse ist ein essentieller Baustein einer leistungsfähigen IT-Sicherheitsarchitektur. EAGLE Managed Detection and Response ermöglicht die frühzeitige Erkennung von Anomalien und potentiellen Angriffen auf die IT-Infrastruktur eines Unternehmens.

Auf Grundlage unserer Erfahrung und Expertise in den Bereichen Penetration Testing, Schwachstellenerkennung, Data Analytics und Security Operations, haben wir eine Lösung entwickelt, die Logdaten und Netzwerkverkehrsmetadaten sammelt, aggregiert und maschinell gestützt analysiert.

Diese Eigenentwicklung für die Analyse und Erkennung von sicherheitsrelevanten Vorfällen bildet die Basis für EAGLE Managed Detection and Response.

EAGLE Managed Detection and Response: Fokus auf relevante Vorfälle

Ziel ist aus einer Flut von Logdatenmeldungen und Netzwerkflows sicherheitsrelevante Vorfälle zu erkennen. Hierfür kommt sowohl regelbasierte als auch Machine Learning gestützte Verarbeitung zum Einsatz.
Mit anderen Worten: Aus einem hohen Datenvolumen mit geringem Informationswert wird ein möglichst geringes Datenvolumen mit hohem Informationswert erzeugt.

Und das lässt sich erreichen, ohne massiv in die bestehende Infrastruktur einzugreifen! EAGLE nutzt nur die Daten, die Ihre Infrastruktur ohnehin schon hergibt. EAGLE lässt sich problemlos in Ihre bestehende IT-Infrastruktur einbetten und arbeitet “agentless”, also rückwirkungsfrei.

Die aus dem automatisierten Verabeitungsprozess verbleibenden Ereignisse mit hohem Informationswert sind diejenigen, die eine weitergehende Analyse und Ursachenforschung durch Trovent Security-Analysten im EAGLE Managed Detection and Response Team erfordern.

Managed Detection and Response: Logdatenverarbeitung und Angriffserkennung

Existierendes Wissen effektiv einsetzen: MITRE ATT&CK

Als Basis für die Umsetzung einer möglichst effektiven Erkennung von sicherheitsrelevanten Vorfällen setzt EAGLE u.a. auf das MITRE ATT&CK Framework, um eine breite Abdeckung von möglichen Angriffsszenarien, -methoden und -techniken zu gewährleisten. Im EAGLE-System wird die ATT&CK-Wissensbasis als Grundlage für die Entwicklung und Pflege der regelbasierten und Machine Learning-gestützten Angriffs-/Bedrohungserkennung eingesetzt.

Technisch betrachtet ist ATT&CK ein Verhaltensmodell, das aus den folgenden Kernkomponenten besteht:

  • Taktiken, die kurzfristige, taktische Ziele des Angreifers beschreiben
  • Techniken, welche die Methoden und Mittel beschreiben, mit Hilfe derer ein Angreifer seine taktischen Ziele erreichen möchte
  • Sub-Techniken, die auf einer tieferen Detailebene die Methoden und Mittel des Angreifers beschreiben
  • Gesammelte (Meta-) Daten und Dokumentation aus der in realen Umgebungen beobachteten Nutzung von Angriffstechniken und -methoden

Unbekannte Angriffsmuster erkennen

Die regelbasierte Erkennung von potentiellen Angriffen ist eine solide Grundlage, jedoch im Kontext der vielfältigen und sich schnell verändernden Angriffsmuster, nicht ausreichend. Deshalb setzt EAGLE neben der regelbasierten Erkennung von bekannten Mustern auch auf den Einsatz von Machine Learning Algorithmen für die Erkennung von unbekannten Angriffsmustern

Schon kompromittiert? Das lässt sich nicht ausschließen

Hauptziel ist die automatische Identifikation von ungewöhnlichem Verhalten (Anomalien), das auf sicherheitsrelevante Vorfälle hindeutet.

Hierbei operiert EAGLE unter der Prämisse, dass trotz existierender, dem üblichen technischen Stand entsprechender Schutz- und Präventionsmechanismen, davon ausgegangen werden muss, dass die IT-Infrastruktur eines Unternehmens früher oder später kompromittiert werden wird – oder bereits kompromittiert worden ist. Dies kann durch gezielte oder zufällige Angriffe passieren. Aufgabe von EAGLE ist, diese Einbrüche sehr frühzeitig zu erkennen, um Schaden in Form von Produktionsausfällen, Datendiebstahl, Ransomware, usw. im Keim zu ersticken.

Beschleunigung durch Machine Learning

Der zielgerichtete Einsatz von Machine-Learning- Algorithmen ermöglicht die schnelle, maschinengestützte Korrelation von Ergebnissen aus regelbasierter Erkennung sowie die Erkennung von Zusammenhängen, die für den menschlichen Analysten nicht mit angemessenem Zeitaufwand zu identifizieren sind. Die im EAGLE-System verwendeten Algorithmen ermöglichen also:

  • die Erkennungsrate von Angriffen und Angriffsversuchen maßgeblich zu steigern
  • den manuellen Bearbeitungsaufwand des EAGLE Security-Analysten deutlich zu reduzieren

EAGLE Context Engine: Zusammenhänge verstehen

Mittels entsprechender Regeln und Algorithmen lassen sich potentiell sicherheitsrelevante Vorfälle erkennen. Die praktische Realität aus dem täglichen Betrieb von diversen Detektionssystemen hat uns allerdings auch gelehrt, dass ein einzelner durch eine Regel oder einen Algorithmus erkannter Event ohne Kenntnis der infrastrukturellen Zusammenhänge nur schwerlich zu beurteilen ist.

Bei der Betrachtung von Ereignissen ist der Kontext in dem sie stattfinden, entscheidend für ihre Bewertung aus sicherheitstechnischer Perspektive.

Ein Beispiel: Das Ziel einer potentiell risikobehafteten Verbindung ist kein regulärer PC eines Mitarbeiters, sondern der Datenbank-Server der Personalabteilung. Dieses Kontextwissen beeinflusst maßgeblich die Bewertung des Schweregrads eines erkannten Angriffs bzw. Angriffsversuchs!

Neben der Einbeziehung bereits vorhandener Informationen (z.B. CMDB), sucht EAGLE mit Hilfe von Machine Learning in den Daten aktiv nach neuem Kontext. So wird zum Beispiel laufend das Kommunikationsverhalten aller Hosts untersucht und zwischen Clients, Servern, unterschiedlichen Applikationen, usw. unterschieden. Das Wissen über die so bestimmten Gruppen wird dann als Kontext bzw. neues Wissen für die fortlaufende Erkennung verwendet.

Wissen automatisch aufbauen

EAGLE baut sich dieses Wissen im Zuge der Datenverarbeitung automatisch auf und bildet dieses in einer performanten Graphdatenbank ab. Diese wird in der Folge für weiterführende Analysen eingesetzt.

Der daraus entstehende Nutzen:

Es wird ein Bild des normalen Zustands der IT-Infrastruktur samt seiner Nutzer und Applikationen erzeugt, woraus sich automatisch erkennen lässt wann sich das Bild der Infrastruktur, z.B. durch einen externen Angriff oder Angriffsversuch, verändert

  • Es wird ein Bild des normalen Zustands der IT-Infrastruktur samt seiner Nutzer und Applikationen erzeugt, woraus sich automatisch erkennen lässt wann sich das Bild der Infrastruktur, z.B. durch einen externen Angriff oder Angriffsversuch, verändert
  • Arbeitsprozesse im Security Operations Betrieb werden stark beschleunigt, da Security-Analysten das notwendige Kontextwissen unmittelbar und unverzüglich zur Verfügung steht

Cloud, On-Premise oder Hybrid

Das EAGLE-System ist in der Lage Logdaten und Netzwerkmetadaten (Flows) aus beliebigen Quellen zu verarbeiten. Kurzum, jede Logquelle kann entgegengenommen und entsprechend verarbeitet werden. Und das gilt gleichermaßen für Logs aus Cloud-Infrastruktur und -Applikationen als auch für Logs aus “on-premise” Systemen.

Logs aus Azure, M365, GCP (Google), AWS sowie eine Vielzahl von gängigen Cloud-Applikationen sind im EAGLE-System im Handumdrehen an Bord.

Und on-premise? Alle Logs aus Komponenten der typischen IT-Infrastruktur eines Unternehmens können problemlos von EAGLE entgegengenommen und verarbeitet werden: Windows Server, Linux Server, Firewall / Proxy, Mail-Gateway, VPN-Gateway, Antivirus, Router/Switches (netflow/sflow), usw.

Und wie sieht die erforderliche Infrastruktur für das EAGLE-System selbst aus?
Wir können das System on-premise oder in der von Ihnen bevorzugten Cloud betreiben – ganz wie Sie es möchten. Das Deployment erfolgt, unabhängig von der von Ihnen bevorzugten Zielinfrastruktur, innerhalb von Minuten.

Sofort startklar: Lieferung als Service

Tatsache ist: Auch die beste Lösung zur Erkennung von potentiellen Angriffen, bringt der IT-Sicherheitslage eines Unternehmens nichts, wenn es keine Prozesse und personellen Kapazitäten gibt, um auf den erkannten Sicherheitsvorfall zeitnah und angemessen zu reagieren. Deshalb liefern wir EAGLE “as a Service”.

Wir liefern Detektion und Reaktion: Eine Angriffserkennung, die flexibel auf die Gegebenheiten Ihrer bestehenden IT-Infrastruktur angepasst werden kann und leistungsfähige Reaktionsprozesse.

Wir kümmern uns um:

  • das fortlaufende Tuning von Erkennungsregeln und -algorithmen
  • die Bewertung von potentiell sicherheitsrelevanten Meldungen
  • den Ausschluss von “False Positives” (Falschmeldungen)
  • die Detailanalyse von komplexen Vorfällen
  • konkrete Handlungsempfehlungen für die Eindämmung des Schadensrisikos

EAGLE Managed Detection and Response: Wir nehmen Ihnen die Sorgen ab

Wir betreiben das System und kümmern uns um den Großteil des Reaktionsprozesses. Im Ergebnis haben Sie dadurch Ihre Detektions- und Reaktionsfähigkeit massiv gesteigert, ohne Ihre bestehende IT-Mannschaft mit einer Flut von Alarmen und Meldungen aus unterschiedlichsten Quellen zu überschwemmen.

Managed Detection and Response: Prozessübersicht

Unsere Ziele für Ihre IT-Sicherheit

Für die Verbesserung der Leistungsfähigkeit und des Reifegrads Ihrer IT-Sicherheitsarchitektur verfolgen wir mit EAGLE Managed Detection and Response folgende Ziele:

  • Erkennung und Reaktion aus einer Hand!
  • Bedrohungserkennung in nahe Echtzeit
  • Reduktion der aus IT-Sicherheitssystemen stammenden Alarm- und Eventflut
  • Nutzen bestehender Security-Infrastruktur maximieren
  • Keine zusätzliche Arbeitsbelastung: Produktivität des operativ verantwortlichen IT-/Security-Teams steigern
  • Einsatzfähig sein, ohne grundlegend in die IT-Architektur des Unternehmens eingreifen zu müssen
  • Passiver Einsatz – rückwirkungsfrei auf die bestehende Infrastruktur

Wir stellen unsere Leistungsfähigkeit unter Beweis

Sie haben Interesse, aber möchten die Lösung erstmal in einer realen Umgebung im Einsatz sehen?

Sie möchten sehen wie schnell die Lösung einsatzfähig ist?

Wir stellen die Leistungsfähigkeit unserer EAGLE-Plattform gerne in Ihrer IT-Infrastruktur unter Beweis! Kontaktieren Sie uns und wir vereinbaren kurzerhand die Rahmenbedingungen für den Einsatz von EAGLE.

Wir beraten Sie gerne!

Sehen Sie Handlungsbedarf in Ihrer IT-Sicherheitsarchitektur? Möchten Sie Angriffserkennung und -reaktion als IT-Sicherheitsmaßnahme möglicherweise in Ihrem Unternehmen implementieren, haben aber derzeit noch keine klaren Anforderungen? Sie möchten sich gerne mit einem fachkundigen Ansprechpartner zum Thema Managed Detection and Response austauschen?

Wir stehen Ihnen gerne mit einem ersten kostenfreien Beratungstermin zur Verfügung. Die Terminvereinbarung ist nur wenige Klicks entfernt!