Exabeam Threat Center : detecteer, onderzoek en reageer vanuit één uniforme tool

Exabeam Threat Center : detecteer, onderzoek en reageer vanuit één uniforme tool

Door

Het Exabeam Threat Center, aangedreven door kunstmatige intelligentie, maakt het werk van beveiligingsanalisten eenvoudiger en efficiënter door het bieden van een geïntegreerde oplossing voor bedreigingsmanagement, gebruiksklare onderzoeksgereedschappen, en automatiseringsfuncties.

Threat Center optimaliseert de werkroutines van analisten en reduceert de last van constante waarschuwingen. Dit wordt gerealiseerd door het prioriteren van taken, het automatisch verzamelen van bewijs, en het samenstellen van tijdlijnen, waardoor analisten op een meer doeltreffende wijze bedreigingen kunnen detecteren, onderzoeken, en aanpakken.

Aangestuurd door het AI-gedreven Exabeam Security Operations Platform, biedt het Threat Center een geïntegreerde werkplek die de mogelijkheden voor het detecteren, onderzoeken, en reageren op bedreigingen versterkt door geavanceerde AI-ondersteuning en automatisering, resulterend in een consistent overzicht van de dreigingslandschap. De vaardigheid van het Threat Center om diverse waarschuwingen met elkaar te verbinden, stelt organisaties in staat om bedreigingen in hun geheel aan te pakken, in plaats van in delen.

Deze functionaliteit wordt versterkt door Exabeam Copilot, een ingebouwde generatieve AI-ervaring in het Threat Center. Exabeam Copilot dient als een AI-assistent, die heldere toelichtingen op dreigingen biedt en geschikte vervolgstappen adviseert.

Hoofdfunctionaliteiten van het Threat Center

  • Geavanceerde analytische detectie van anomalieën binnen Threat Center.
    • Een centrale plek voor het tonen van alle bevindingen vanuit correlatie- en anomaliedetectiemotoren. Verschillend van vorige Smart Timelines, omvatten nu ook niet-zichtbare gebeurtenissen en triggers van correlatieregels als alerts binnen Threat Center.
  • Groepering van detecties
    • Analisten kunnen alerts en cases met gebundelde detecties bekijken, inclusief details over de gebruikte groeperingsregels op het hoofdscherm. Bij gebruik van gebruikers- of hostspecifieke regels, is er een directe link naar Geavanceerde Analytiek voor toegang tot entiteitsgegevensmodellen en aanvullende informatie.
    • Een nieuwe, gebruiksklare dienst voor hiërarchische groepering die automatisch gerelateerde detecties bundelt in alerts en cases.
    • Stelt analisten in staat detecties gerelateerd aan een actieve dreiging te bekijken als onderdeel van een enkele alert of case voor efficiënte triage en onderzoek.
    • Mogelijkheid voor analisten om nieuwe groepen te bewerken, uit te schakelen of te creëren, wat nieuwe manieren biedt om detecties te bundelen en nieuwe groepen te vormen.
  • Snelle zoekfunctie
    • Direct zoeken op algemene criteria, zoals cases toegewezen aan mij of aan mijn queue.
    • Voorgeprogrammeerde zoekopdrachten voor gangbare dreigingen, gebaseerd op TTP’s uit het MITRE ATT&CK framework of gebruiksscenario’s, voor snelle filtering.
  • Dreigingstijdlijn
    • Toont elke relevante alert en case, inclusief detecties van dreigingen en cruciale momenten van incidentrespons.
    • Combineert correlatie- en anomaliedetectieregels op één tijdlijn.
    • Toont niet alle, oftewel gebeurtenissen die niet door een regel of model zijn getriggerd, maar geeft getriggerde gebeurtenissen weer met geïntegreerde data-inzichten.
    • Risicoscores van correlatieregels gebaseerd op de ernst van deze regels.
    • Inzichten in dreigingen via de Threat Explainer
    • Terugkeren naar geavanceerde analytische Tijdlijnen voor een overzicht van “normale” gebeurtenissen wanneer nodig
  • Voorgebouwde automatisering
    • Automatische toewijzing van cases aan standaardwachtrijen.
    • Toewijzing van een waarschuwingsniveau op basis van drempelwaarde voor risicoscore.
    • Escalatie van alerts naar cases gebaseerd op vooraf bepaalde risicodrempels.
  • Dashboard voor Threat Center-activiteiten en -gebeurtenissen

Threat Center-retentie

Threat Center-zaken worden standaard 90 dagen bewaard, inclusief alle gebeurtenissen en waarschuwingen die zijn gebruikt om een case aan te maken of te triggeren. Hierdoor kunnen gebruikers belangrijke gebeurtenissen en waarschuwingen bekijken gedurende de levensduur van de case. Deze retentie omvat:

  • Metagegevens van waarschuwingen en cases
  • Detecties
  • Opmerkingen
  • Bijlagen
  • Gebeurtenissen gekoppeld aan detecties
  • Geschiedenis

Wat is het nieuwe automatiseringsbeheer?

De Automatiseringsbeheer is een nieuwe module in het Exabeam systeem en wordt altijd geleverd samen met Threat Center. Het is een toepassing om analisten en beveiligingsengineers te helpen hun workflows te automatiseren met de Exabeam Threat Center-service

Belangrijkste kenmerken ervan zijn:

  1. Alert escalatie naar cases gebaseerd op door de gebruiker te configureren triggers op verschillende gebeurtenis-/alertattributen
  2. Geautomatiseerde waarschuwingen en casustriage voor automatische toewijzing aan relevante analisten, teams op basis van door de gebruiker te configureren voorwaarden
  3. Automation platform service voor security engineers voor het beheren en configureren van automatiseringsregels en triggers voor het Exabeam Security Operations Platform
  4. Workflowautomatisering: configureer automatiseringsworkflows die waarschuwingen triageren, cases escaleren, context verzamelen en reacties herstellen.
  5. No-code playbook editor om triggers te definiëren (wanneer iets moet gebeuren), voorwaarden (wat moet overeenkomen om iets te laten gebeuren) en acties (resultaten die moeten worden uitgevoerd als aan alle voorwaarden is voldaan)
  6. Vooraf opgestelde playbooks met de mogelijkheid om ze te bekijken, uit te schakelen of te klonen voor eenvoudige
    aanpassing.
    a. Automatisch de prioriteit van waarschuwingen instellen
    b. Escaleer een alert naar een case op basis van risicoscore
    c. Casussen in een standaardwachtrij plaatsen
    d. Cases aanmaken wanneer een specifieke correlatieregel triggert
  7. Integratie met oplossingen voor IT-operaties (zoals ticketing systemen, kwetsbaarheden beheer en EDR) voor casemanagement en samenwerking (bijv. Slack, PagerDuty en Teams)
  8. Geautomatiseerde meldingen configureren en samenwerken met externe systemen via Webhook of e-mail

Beschikbaarheid Threat Center

Alle bestaande Exabeam SIEM gebruikers ontvangen Threat Center automatisch. Gebruikers van de volgende produkten kunnen het Threat Center en Automation Management inschakelen:

Exabeam SIEM
Exabeam Fusion
Exabeam Security Investigation
Exabeam Fusion SIEM Enterprise
Exabeam Fusion XDR Enterprise

Neem voor meer informatie contact op met één van onze specialisten. Of check de documentatie van Exabeam zelf op https://www.exabeam.com/wp-content/uploads/FEATUREBRIEF-Threat-Center.pdf

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Exabeam, MITRE, TDIR ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: Exabeam, MITRE, TDIR
Lees meer

Ook interessant

Scroll naar boven