防火墙流量分析 (自由贸易协定)
作为Stellar Cyber智能安全运营平台的本机功能之一
网络检测和响应(NDR) 历史悠久,演化自网络安全和 网络流量分析 (NTA)。网络安全的历史定义是使用外围防火墙和 入侵防御系统(IPS) 来筛选进入网络的流量,但随着现代攻击利用更复杂的方法,IT 技术和安全技术不断发展,现在的定义范围更广。
作为Stellar Cyber智能安全运营平台的本机功能之一
NDR 可检测到其他网络安全工具无法检测到的可疑事件,从而将 MTTI 提高 8 倍以上
具有准确网络安全分析的正确数据
具有准确网络安全分析的正确数据
- 收集权利 网络安全 L2-L7元数据和文件包中用于> 4,000个网络应用程序的文件
- 收集流量数据,包括NGFW日志以及网络设备NetFlow和IPFix
- 规范化和丰富来自许多来源的数据,以建立丰富的上下文,以确保准确 安全性分析
- 构建可操作、可搜索和可读的 Interflow™ 记录,存储在单个高效的大数据湖中
- 通过缓冲,复制,冗余和多年可配置的长期存储来保持高数据可用性
- 为北/南和东/西流量,公共云内部的流量以及容器之间的流量提供360度可见性
- 应用有监督和无监督的机器学习以及深度学习进行分析 互流™ 实时记录
- 通过机器学习来提高基于签名的检测水平,以提高保真度。
- 集成了高级持久性威胁(APT)和恶意软件检测功能,可在查杀链中提供统一的检测功能
- 在单个Open XDR平台上紧密集成并与EDR,CDR,漏洞扫描,IoC等相关联
- 通过直接的NGFW,EDR和Active Directory集成,SOAR集成或现有的SIEM系统触发自动响应
- 通过灵活的全局文本搜索(手动或自动)进行威胁搜寻
客户和分析师的评价。

“适合家庭轿车预算的跑车性能 XDR!”
Gartner同行见解
“Stellar Cyber 提供内置网络检测和响应 (NDR)、下一代 SIEM 和自动响应”
里克·特纳(Rik Turner)
安全与技术高级首席分析师

“ Stellar Cyber减少了我们的分析费用,使我们能够更快地消除威胁。”
中央IT部门
苏黎世大学
“用户可以通过完全集成到 XDR 平台来增强他们最喜欢的 EDR 工具,从而获得更大的可见性。”
乔恩·奥尔齐克
高级首席分析师和 ESG 研究员
主要功能
Stellar Cyber 的 NDR 应用程序有助于正确获取数据,并有助于推动扩展检测和响应 (XDR) 思维。通过大幅减少数据量,大规模收集、分析和存储来自网络流量的元数据,同时为高级检测和取证分析提供充足的证据。集成的高级深度包检测 (DPI) 引擎可以识别 4,000 多个网络应用程序,从这些应用程序中提取网络安全元数据并重新组装文件。提取适量的元数据,包括 DNS 域名、URL、SQL 查询等。Stellar Cyber 的 NDR 还可以从现有设备(如 NGFW 的日志以及 NetFlow 或 IPFix)获取网络安全信息。Stellar Cyber 的 Interflow 使用来自各种来源的信息丰富元数据,包括 DHCP/DNS 流量、主机名和域名的日志、身份提供者 (IDP)(例如 Active Directory、Office365 或 Okta)的用户名、威胁情报、地理位置和漏洞扫描结果。整个网络中横向恶意软件移动的普遍可见性是 IT 安全的关键部分。除了监控跨越企业边界的南北流量外,NDR 还通过服务器上战略性放置的物理或虚拟网络传感器或代理/容器监控东西向通信和/或基于云的应用程序
作为 Stellar Cyber 的 Open XDR 平台的另一项优势,通过集成入侵检测系统 (IDS) 应用程序在机器学习之前处理网络流量以可预测地生成高保真警报,互联网安全性得到了增强。Stellar Cyber 的 NDR 应用程序通过具有可搜索索引大数据的数据湖提供实时检测和威胁搜寻/调查。Stellar Cyber 利用监督和无监督机器学习以及深度学习进行实时和历史网络安全分析,以实现无需签名的高级检测。每个集成检测都是专门为其用例构建的,具有正确的机器学习模型,而不是为所有检测构建一个模型。Stellar Cyber 的安全研究人员和数据科学家不断调整模型以进行更多检测并改进现有检测。Stellar Cyber 的用户界面通过允许分析师调整机器学习模型来改进安全分析,方法是通过对特定的 ML 驱动的检测结果点赞或点踩来标记事件。所有集成应用程序(包括 NDR、机器学习 IDS 和恶意软件检测)都与网络杀伤链保持一致,从而提高了生产力并减少了培训时间。
在你的回应
酌处权
Stellar Cyber 的 NDR 应用程序支持自动和手动响应。 它可以通过丢弃 NGFW 上的可疑流量、禁用 Active Directory 上的受影响用户、通过 EDR 包含受损端点或通过 Restful API 或灵活脚本执行任何操作来直接阻止攻击。 Stellar Cyber 的 NDR 还支持与 Phantom、Demisto、Swimlane 等其他 SOAR 集成。
使用内置的数据流应用程序,可以将数据和安全检测发送到 Splunk 等现有 SIEM。 它们还可以通过 Restful API 或通过电子邮件的票务工具发送到任何自定义工具。 Stellar Cyber 有一个内置的、非常强大的报告和警报引擎,包括用于合规性的预制报告和根据个人要求定制的可定制报告。 主动思考,Stellar Cyber 有一个强大的自动威胁搜索应用程序,内置了大量预构建的威胁搜索库。 例如,当检测到来自非预期国家和/或非预期时间窗口的 SSH/RDP/FTP 等登录时,可以自动触发防火墙动作响应。
围绕设计
AI
传感器、收集的数据、威胁情报和数据存储技术都支持驱动 检测和响应 成果。