Exabeam

Waaruit bestaat het exabeam security management platform?

• Data lake – Onbeperkte logboekverzameling en veilige gegevensopslag
• Cloud connectors – Betrouwbare cloudconnectoren voor meer dan 40 cloudservices
• Advanced analytics – Gebruikersgebaseerde gedragsanalyses om gecompromitteerde referenties en insiderbedreigingen te detecteren
• Entity analytics – Apparaatgebaseerde gedragsanalyses om zijdelingse bewegingen in IT, IoT en OT te detecteren
• Threat hunter – Efficiënte point-and-click search voor threat hunting om zoekopdrachten en query’s te vereenvoudigen
• Incident responder – Eenvoudig acties en playbooks aanpassen om incidentrespons te automatiseren en te orkestreren incidenten in een gecentraliseerd, volledig aanpasbaar ticketsysteem
• Threat intelligence service – Real-time inzicht in indicatoren van compromissen en kwaadwillende hosts
• Smart timelines – Door machines gemaakte tijdlijnen van gebruikers- en apparaatgedrag en bijbehorende mate van risico

Waarom exabeam?

Het modulaire Exabeam Security Management Platform stelt architecten, leiders van beveiligingsoperaties en insider threat teams in staat om de productiviteit van analisten te verhogen, de kosten te verlagen en de detectie van bedreigingen te verbeteren.

Verhoog de productiviteit van analisten

Exabeam stelt beveiligingsteams in staat om cyberaanvallen in 51 procent minder tijd te detecteren, te onderzoeken en erop te reageren, dan voordat ze Exabeam gebruikten. Point-and-click bedreiging jacht en machine-gebouwde tijdlijnen versnellen onderzoeken en verminderen de behoefte aan complexe query’s. Terwijl aangepaste herhaalbare incidentresponsworkflows en out-of-the-box playbooks analisten in staat stellen om herstel te automatiseren en binnen enkele minuten, niet dagen, te reageren op beveiligingsincidenten.

Kosten verlagen

Negentig procent van de klanten zegt dat Exabeam zeer effectief is in het verlagen van de operationele kosten, die gepaard gaan met het gebruik van een SIEM, voor detectie en onderzoek. En Exabeam klanten zijn in staat om direct waarde te realiseren. Meer dan 90 procent van de Exabeam-klanten zegt de waarde ervan, binnen een week na implementatie te kunnen zien. Exabeam-klanten besparen ook geld op het loggen.

Bedreigingsdetectie verbeteren

In tegenstelling tot oudere SIEM’s stelt Exabeam analisten in staat om gedragsanalyse en machinaal gebouwde tijdlijnen te gebruiken om onbekende en insider-bedreigingen te detecteren en snel zijdelingse bewegingen te ontdekken. In combinatie met effectieve prioritering van waarschuwingen en verminderde valse positieven, kunnen analisten doorgaans 83% van de dagelijkse waarschuwingen onderzoeken, het dubbele aantal van andere SIEM’s.

Het Exabeam Security Management Platform stelt analisten in staat om onbeperkte logboekgegevens te verzamelen, gedragsanalyses te gebruiken om aanvallen te detecteren en incidentrespons te versnellen. Het modulaire karakter stelt organisaties in staat om hun volledige SIEM te moderniseren of hun bestaande SIEM aan te vullen met geavanceerde analyses, geautomatiseerde incidentrespons en persistente cloudconnectoren. Beveiligingsteams die naar Exabeam migreren, kunnen dit in één keer of gefaseerd doen. En om architecten te helpen hun organisatie naar de cloud te migreren, kan het Exabeam Security Management Platform on-premises, op cloudinfrastructuur, als software-as-a-service (SaaS) of via een managed security serviceprovider (MSSP) worden geïmplementeerd.

Exabeam advanced analytics

Exabeam Advanced Analytics is ’s werelds meest geïmplementeerde gedragsanalyseplatform. Advanced Analytics analyseert het werkelijke gedrag van gebruikers en entiteiten om risico’s te bepalen en overbelaste beveiligingsanalisten te informeren over mogelijke aanvallen en hoe deze te verhelpen.

Advanced Analytics biedt een krachtige analyselaag bovenop bestaande SIEM- en logboekbeheertechnologieën, het detecteren van nieuwe aanvallen, het prioriteren van incidenten en het begeleiden van een effectievere respons. Wilt u meer zien? SolidBE verzorgt graag een demo voor u.

Exabeam verzamelt en verwerkt gegevens van een logboekbeheersysteem en andere externe contextgegevensbronnen om geavanceerde beveiligingsaanvallen te identificeren.

Advanced Analytics kan gecompromitteerde, kwaadwillende insiders en geavanceerde bedreigingen identificeren, door gebruik te maken van logboeken en contextuele informatie. Gedrag met een hoog risico in uw organisatie wordt bijgehouden en vervolgens vastgelegd in uitgebreide tijdlijnen, zodat u uw onderzoek van punt tot punt van actie kunt concentreren, in plaats van handmatig gegevens te verzamelen en te zeven.

Overzicht op hoog niveau van Advanced Analytics

Exabeam Advanced Analytics biedt informatie over gebruikers- en entiteitsgedrag, bovenop bestaande SIEM- en logboekbeheergegevensopslagplaatsen, om gecompromitteerde en frauduleuze insiders te detecteren en een volledig beeld te geven van het gebruik van gebruikerssessies en zijdelingse bewegingen in de aanvalsketen. Exabeam haalt logboeken uit verschillende gegevensbronnen (Domeincontroller, VPN, beveiligingswaarschuwingen, DLP enz.) via uw bestaande SIEM, evenals directe opname via Syslog, en verrijkt deze gegevens met identiteitsinformatie, die is verzameld via Active Directory (LDAP). Dit biedt een identiteitscontext voor het gebruik van referenties. Met behulp van gedragsmodellering en -analyse leert Exabeam normale gebruikersreferentieactiviteiten, toegangskenmerken en stelt het automatisch vragen over de gegevens, om afwijkende activiteiten weer te geven.

Ten slotte plaatst Exabeam alle gebruikersreferentieactiviteiten en -kenmerken op een tijdlijn met scores die zijn toegewezen aan afwijkend toegangsgedrag. Traditionele beveiligingswaarschuwingen worden ook gescoord, toegeschreven aan identiteiten en op de tijdlijn van de activiteit geplaatst. Alle systemen die worden aangeraakt door gecompromitteerde referenties van insiders worden geïdentificeerd om het pad van de aanvaller door de IT-omgeving te onthullen.

Hoe Advanced Analytics werkt

Exabeam heeft een aanpak op twee niveaus om incidenten te identificeren. De eerste laag verzamelt gegevens van logboekbeheersystemen en externe contextgegevensbronnen. De tweede laag bestaat uit een risico-engine en Exabeam’s Stateful User TrackingTM. De eerste laag normaliseert de gebeurtenissen en verrijkt deze met contextuele informatie over de gebruikers en assets, om inzicht te krijgen in de entiteitsactiviteiten, binnen de omgeving in verschillende dimensies. In deze laag profileren de statistische modelleringsprofielen het gedrag van de netwerkentiteiten. Machine learning wordt toegepast op het gebied van contextschatting, bijvoorbeeld om onderscheid te maken tussen gebruikers en serviceaccounts. In de tweede laag, terwijl gebeurtenissen door de verwerkingsengine stromen, gebruikt Exabeam Stateful User TrackingTM om gebruikersactiviteiten te verbinden tussen meerdere accounts, apparaten en IP-adressen en plaatst alle gebruikersreferentieactiviteiten en -kenmerken op een tijdlijn met scores, die zijn toegewezen aan afwijkend toegangsgedrag. Traditionele beveiligingswaarschuwingen worden ook gescoord, toegeschreven aan identiteiten en op de tijdlijn van de activiteit geplaatst. De risico-engine werkt risicoscores bij, op basis van invoer van de anomaliedetectielaag en van andere externe gegevensbronnen. De risico-engine brengt de beveiligingskennis en -expertise in, om anomalieën uit te vergroten, die qua veiligheid aanzienlijk zijn. Incidenten worden gegenereerd, wanneer sommige scores de gedefinieerde drempelwaarden overschrijden.

Logboeken ophalen en opnemen

Exabeam kan logboeken ophalen uit SIEM-logboekopslagplaatsen en ook logboeken opnemen via Syslog. We ondersteunen momenteel logboekopname van Splunk, Microfocus ArcSight, IBM QRadar, McAfee ESM en RSA Security Analytics, evenals andere gegevensbronnen zoals Exabeam Data Lake. Voor Splunk en QRadar vindt logboek opname plaats via externe API’s en Syslog wordt gebruikt voor alle anderen. Voor SIEM-oplossingen, zoals LogRhythm, McAfee ESM en LogLogic, nemen we logboeken op via Syslog forwarding.

Context toevoegen

Logboeken vertellen ons wat de gebruikers en entiteiten doen, terwijl de context ons vertelt wie de gebruikers en entiteiten zijn. Dit zijn gegevensbronnen, die doorgaans afkomstig zijn van identiteitsservices zoals Active Directory. Ze verrijken de logboeken om te helpen bij het anomaliedetectieproces of worden rechtstreeks door de risico-enginelaag gebruikt, voor op feiten gebaseerde regels. Ongeacht waar deze externe feeds worden gebruikt, ze gaan allemaal door de anomaliedetectielaag, als onderdeel van een gebeurtenis. Voorbeelden van contextinformatie, die mogelijk wordt gebruikt door de anomaliedetectielaag, zijn de locatie voor een bepaald IP-adres, de ISP-naam voor een IP-adres en de afdeling voor een gebruiker. We kunnen ook contextuele informatie invoeren van HR Management Systems, Configuration Management Databases, Identity Systems, etc. Een ander voorbeeld van contextuele informatie zijn threat intelligence feeds, die door de anomalie detectie laag worden gebruikt om te controleren of een specifiek IP-adres wordt vermeld in een threat intelligence feed.

Detecteren anomalieën

Dit onderdeel maakt gebruik van machine learning-algoritmen om o.a. gebruikers, sessies en apparaten te identificeren, die zich op een afwijkende manier gedragen. De afwijkingen kunnen relatief zijn ten opzichte van één gebruiker, sessie of apparaat of ten opzichte van verschillende groepen ervan. Sommige anomalieën kunnen bijvoorbeeld verwijzen naar een gedrag dat abnormaal is voor een gebruiker ten opzichte van zijn verleden en andere anomalieën kunnen rekening houden met afwijkend gedrag ten opzichte van mensen met rollen, die vergelijkbaar zijn met de individuele (peer group), locatie of andere groeperingsmechanismen. De algoritmen worden voortdurend verbeterd om de snelheid en nauwkeurigheid van numerieke gegevensberekeningen te verhogen. Dit verbetert op zijn beurt de prestaties van Advanced Analytics

Risico beoordelen met behulp van de risico-engine

De risico-engine behandelt elke sessie als een container en wijst risicoscores toe aan de gebeurtenissen, die als afwijkend worden gemarkeerd. Naarmate de som van gebeurtenisrisicoscores een drempel bereikt (een standaardwaarde van 90), worden incidenten automatisch gegenereerd binnen de module Case Management of geëscaleerd als incidenten, naar een bestaande SIEM of ticketingsysteem. De gebeurtenisscores zijn ook beschikbaar voor de gebruiker om een query uit te voeren, via de gebruikersinterface. In sommige gevallen weerspiegelen de scores niet alleen informatie, die door Exabeam als afwijkend wordt beschouwd op basis van gedragslogboekenfeeds, maar kan het een Exabeam-score bieden in verband met andere beveiligingswaarschuwingen die kunnen worden gegenereerd door bronnen van derden (bijvoorbeeld FireEye- of CrowdStrike-waarschuwingen). Deze beveiligingswaarschuwingen zijn geïntegreerd in gebruikerssessies en beoordeeld als feitelijke risico’s.

De Advanced Analytics Architectuur

Exabeam heeft een scale-out architectuur, dat een cluster van knooppunten is, dat voldoet aan de behoeften van kleine tot wereldwijde organisaties. Klanten kunnen beginnen met één knooppunt Exabeam-apparaat of een cluster van meerdere knooppunten, op basis van het aantal actieve gebruikers en het volume logboeken dat door de Exabeam-engine wordt verwerkt. Kleinere organisaties kunnen op één knooppuntapparaat functioneren, terwijl we voor grotere organisaties horizontaal kunnen schalen door, indien nodig, meerdere knooppunten toe te voegen. Een knooppunt kan een fysiek apparaat of een virtueel apparaat zijn. Door de verwerking over meerdere CPU-kernen en knooppunten te distribueren, kan Exabeam niet alleen omgevingen met veel werknemers ondersteunen, maar ook feeds met een hoog volume, zoals eindpuntlogboeken of logboeken voor webactiviteit (proxy).

LIME (Log Ingestion and Message Extraction): LIME draait op het masterknooppunt of een zelfstandig knooppunt (afhankelijk van het logboekvolume). Het is het Exabeam-proces dat interfaces heeft met Exabeam Data Lake of een alternatieve opslagplaats voor klantenlogboeken; het haalt de gegevens op of ontvangt via Syslog en slaat deze op HDFS op. Daarnaast normaliseert het ook de onbewerkte logboeken in gebeurtenissen die de rest van de Exabeam-pijplijn kan verwerken. Nadat de gebeurtenissen zijn geparseerd, worden de geparseerde gebeurtenissen in HDFS opgeslagen, waar de master- en slaveknooppunten ze ophalen voor pijplijnverwerking. HDFS (Hadoop Distributed File System): Dit is een gedistribueerd bestandssysteem, dat bestands- en directoryservices van afzonderlijke servers zodanig organiseert, dat externe gegevenstoegang niet locatiespecifiek is, maar identiek is vanaf elke client. Alle bestanden zijn toegankelijk voor alle gebruikers van het wereldwijde bestandssysteem en de organisatie is hiërarchisch en directory-gebaseerd. Gedistribueerde bestandssystemen gebruiken meestal bestands- of databasereplicatie (het distribueren van kopieën van gegevens op meerdere servers) om te beschermen tegen fouten in de gegevenstoegang. HDFS biedt toegang tot toepassingsgegevens met een hoge doorvoer en is geschikt voor toepassingen met grote gegevenssets. Het is zeer fouttolerant en maakt streaming toegang tot bestandssysteemgegevens mogelijk. Hier slaat Exabeam de onbewerkte logboeken op, die zijn opgehaald uit de SIEM en Syslog, evenals de geanalyseerde gebeurtenissen, die worden geopend door de knooppunten, ten behoeve van verwerking. Deze bestanden zijn beschikbaar voor alle knooppunten. Docker Containers: Elk belangrijk onderdeel van Exabeam (zoals LIME, Analytics Engine, HDFS, etc.) bevindt zich in een Docker container. Docker-containers pakken een stuk software in, in een compleet bestandssysteem, dat alles bevat wat nodig is om uit te voeren: code, runtime, systeemtools, systeembibliotheken – alles wat u op een server kunt installeren. Dit garandeert dat het altijd hetzelfde zal lopen, ongeacht de omgeving waarin het draait.

Hoofdknooppunt: Het hoofdknooppunt is het meest krachtige knooppunt van het cluster – het voert de verwerkingspijplijn uit en coördineert in een omgeving met meerdere knooppunten ook de activiteiten van het knooppuntcluster. De sessie manager wordt uitgevoerd op het hoofd knooppunt en identificeert alle logboeken, die deel uitmaken van een sessie door alle activiteiten van een gebruiker samen te stellen, vanaf het moment dat ze zich aanmelden, tot het moment dat ze zich afmelden.

Worker Nodes: In een omgeving met meerdere knooppunten zijn de Worker Nodes verantwoordelijk voor het verwerken van alle logboeken, die worden gegenereerd door feeds met een hoog volume. De Worker Nodes voeren sequence manager uit, die alle logboeken verwerkt die behoren tot feeds met een hoog volume, zoals proxy- of eindpuntlogboeken.

Exabeam-klanten kunnen beginnen met een masterknooppunt en indien nodig werkknooppunten toevoegen. Als een cluster slechts één knoop punt heeft (dat is het hoofd knooppunt), voert het knoop punt zowel sessiebeheer als sequence manager uit (indien nodig). Gedistribueerde database: alle metagegevens van sessies, gebruikers, activa en gebeurtenissen worden gesorteerd in een gedistribueerde Mongo-database. De database is gedistribueerd om het hogere volume aan gegevens af te handelen en de logboeken, die in elke verwerkingseenheid zijn opgeslagen, zijn beschikbaar voor alle knooppunten.

Gebruikersinterface: Webservices voor de gebruikersinterface worden uitgevoerd op het hoofdknooppunt, hoewel het technisch gezien op elke interface kan worden uitgevoerd. Het haalt gegevens op uit de database.