news release

Vectra startet Cognito Stream zur Unterstützung von Bedrohungsjägern und Incident Investigators durch die Ergänzung von Metadaten mit Sicherheitserkenntnissen

Sorry, this news release has not been published yet, check back later!

February 27, 2019

Cognito Stream liefert Data Lakes die Metadaten aus Netzwerkumgebungen von Unternehmen ohne die Komplexität, die Limitierung und ohne den Anpassungsbedarf der Open-Source-Lösung Zeek

Vectra, der führende Anbieter in der Erkennung und Reaktion auf Cyberangriffe, gibt die Verfügbarkeit von Cognito® Stream™ bekannt. Der neue Service liefert Netzwerk-Metadaten aus Unternehmensumgebungen im Zeek-Format, die mit Sicherheitsinformationen angereichert sind, um Fachkräfte bei der Bedrohungssuche und der Analyse von Sicherheitsvorfällen zu unterstützen. Cognito Stream ergänzt Metadaten um die Host-Identität, sodass Analysten Sicherheitsvorfälle wesentlich effizienter untersuchen können, indem ihnen der gesamte Kontext zu den Ereignissen in der Netzwerkkommunikation zwischen Cloud- und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräten zur Verfügung steht.

„Sicherheitsanalysten sollten nicht auch Netzwerkexperten sein müssen, um Bedrohungen komplett untersuchen zu können. Die Suche nach NetFlow-Daten, denen es an Details mangelt, oder nach Paketdaten, die zu komplex sind und deren Speicherung zu teuer ist, muss auf der Grundlage der IP-Adresse erfolgen, was für Sicherheitsanalysten nicht intuitiv ist und eine zusätzliche Korrelation mit separaten DHCP-Protokollen erfordert“, erklärt Eric Ogren, Senior Security Analyst bei 451 Research. „Um umfassenden Einblick ins Netzwerk zu haben, Eindringlinge erkennen und entsprechend reagieren zu können, muss leistungsfähige Intelligence genutzt werden, indem Daten zum Netzwerkverkehr korreliert und den Sicherheitsanalysten aussagekräftige Erkenntnisse geliefert werden.“

Cognito Stream bietet eine Transaktionsaufzeichnung jeder Netzwerkkommunikation innerhalb einer Organisation an ein Enterprise-scale Data Lake oder SIEM-System (Security Information and Event Management). Cognito Stream ergänzt Metadaten mit der Host-Identität, um parallele Suchen in DHCP-Protokollen zu vermeiden und ein Gerät mit einer IP-Adresse zu bestimmten Zeiten zu finden sowie um Änderungen von IP-Adressen zu verfolgen. Durch das Sammeln und Weiterleiten historischer Metadaten anstelle der vollständigen Paketerfassung reduziert Cognito Stream den Speicherbedarf um über 99 Prozent und stellt die Einhaltung von Datenschutzvorschriften wie der EU-Datenschutz-Grundverordnung (DSGVO) sicher.

„Ich empfehle Cognito Stream zu testen, wenn Unternehmen bereits in einen eigenen Data Lake investiert haben“, erklärt Dan Basile, Executive Director of Security Operations bei The Texas A&M University System. „Der Kontext ist immer wichtig, wenn man nach Bedrohungen sucht. Die Fähigkeit angereicherte Metadaten mit anderen Datenquellen zu korrelieren und dann Bedrohungen auf Grundlage hochwertiger IoCs (Indicator of Compromise) zu suchen, kann den Aufwand für die Sicherheitsexperten deutlich senken und die Reaktionszeiten spürbar verkürzen.“

Cognito Stream bietet:

  • Nutzbare Netzwerk-Metadaten im Zeek-Format. Cognito Stream extrahiert Hunderte von Metadatenattributen aus dem Netzwerkverkehr und präsentiert sie in einem kompakten, leicht verständlichen Zeek-Format. Cognito Stream liefert im Vergleich zu NetFlow die Details, die Analysten benötigen, und ohne die Komplexität der vollständigen Paketerfassung.
  • Eingebettete Sicherheitsinformationen. Durch maschinelles Lernen generierte Erkenntnisse sind in die Cognito Stream-Metadaten eingebettet, und liefern nützliche Informationen, die Sicherheitsanalysten mit ihrem individuellen Fachwissen kombinieren können, um somit rasche Schlussfolgerungen ziehen zu können.
  • Untersuchung von Hosts statt IP-Adressen. Cognito Stream verknüpft Netzwerk-Metadaten automatisch mit anderen Attributen, um eine eindeutige Host-Identität zu ermitteln. Die Benutzerzuordnung ermöglicht es Sicherheitsanalysten, Hosts unabhängig von Änderungen der IP-Adresse effizient zu untersuchen und Beziehungen zwischen Gruppen von Hosts zu analysieren.
  • Set and forget – Einfache Nutzung. Cognito Stream lässt sich in weniger als 30 Minuten einrichten, erfordert keine Leistungsanpassung oder laufende Wartung und liefert mehr als die fünffache Einzelsensorperformance von Zeek. Sicherheitsteams sparen sich den Verwaltungsaufwand für die Open-Source-Lösung Zeek und können sich auf Untersuchungen konzentrieren.

Netzwerk-Metadaten bieten IT-Security-Analysten eine erstklassige Sicht auf Muster und Ereignisse, wie sie im gesamten Netzwerk auftreten. Host- und Anwendungsdaten liefern detaillierte Low-Level-Daten zu Verhaltensweisen auf Host-Ebene, einschließlich Systemprozessen und Speicherzugriff. Zusammen ermöglichen diese Datensätze eine umfassende Kartierung des Unternehmens, und liefert somit einen mehrstufigen Überblick, was als nächstes passieren könnte. Diese Informationen können von den Bedrohungsjägern auf effektive Weise kombiniert verwendet werden, um fortschrittliche Bedrohungen zu erkennen.

„Cognito Stream liefert umfassende Metadaten und bietet so mehr wichtige Zusatzinformationen als Zeek. Zugleich aber bietet Cognito Stream volle Kompatibilität mit allen verfügbaren Zeek-Werkzeugen“, erläutert Rohan Chitradurga, Director Product Management bei Vectra. „Damit erfüllen wir die Anforderungen nach den schnellen und einfachen Suche nach Bedrohungen in großen Unternehmensnetzwerken. Dabei steigt jedoch nicht der Aufwand für die Sicherheitsexperten, der sonst beim Management einer Sensor-Infrastruktur entsteht.“

Cognito Stream ist ab sofort verfügbar.

Über Vectra

Vectra® verändert die Cybersicherheit mittels künstlicher Intelligenz (KI). Die Cognito™ Plattform erweitert die Fähigkeiten von Bedrohungsjägern und automatisiert die Erkennung von Cyberangriffen in Rechenzentrums- und Cloud-Workloads bis hin zu Benutzer- und IoT-Geräten. Cognito korreliert Bedrohungen, priorisiert Hosts basierend auf Risiken und bietet einen umfassenden Kontext, um die Reaktion auf Vorfälle mit bestehenden Sicherheitssystemen zu ermöglichen. Dadurch wird der Arbeitsaufwand für Sicherheitsoperationen um das 36-Fache reduziert. Das Unternehmen besitzt zehn US-Patente plus elf angemeldete Patente für Cybersicherheitsanwendungen des maschinellen Lernens und der künstlichen Intelligenz. Vectra hat seinen Hauptsitz in San Jose, Kalifornien, und seinen europäischen Hauptsitz in Zürich. Weitere Informationen finden Sie unter vectra.ai.

Media contact

press@vectra.ai

Most recent news releases

Report: A vulnerable attack surface exists in healthcare enterprise IT networks

Vectra research highlights precarious security risks in the healthcare industry due to legacy infrastructures and unmanaged devices

April 24, 2019
Read news release

Vectra named a Representative Vendor in the inaugural Gartner Market Guide for Network Traffic Analysis

March 20, 2019
Read news release

Ardagh Group selects Vectra AI to acceleratethreat detection and investigation

March 19, 2019
Read news release