LogRhythm legt Network Monitor in Version 3 vor

Der Security-Anbieter LogRhythm hat Version 3 seines “Network Monitor” fertiggestellt, die neben der Überwachung von Firmennetzwerken auch deren Analyse und Forensik dient. Grundsätzlich soll Network Monitor 3 es Unternehmen erlauben, Angriffsformen wie Ransomware, Spear-Phishing-Attacken und fortschrittliche, andauernde Bedrohungen (Advanced Persistent Threats, kurz APTs) schneller und zuverlässiger zu erkennen, zu untersuchen und zu neutralisieren.

Als wichtigste Neuerung seiner Lösung sieht LogRhythm die sogenannte Deep Packet-Analytik (DPA). Sie soll unmittelbar automatisierte Analysen des gesamten Netzwerkverkehrs einer Infrastruktur durchführen und in Kombination mit den von den Network-Monitor-Komponenten Full Packet Capture und Layer 7 SmartFlow bereitgestellten zusätzlichen Informationen Verhaltens- und Statistikanalysen aufbereiten. Die Funktion Layer 7 SmartFlow erfasst die Informationen und Paketdaten der Anwendungsebene (Ebene 7 im OSI-Schichtenmodell) für alle Netzwerksitzungen. Full Packet Capture soll wiederum zusätzliche Inhalte aufdecken, die von herkömmlichen Sicherheitstools nicht erkannt werden, und somit die weiterführende Analyse und Prüfung von erkannten Bedrohungen ermöglichen.

Generelles Ziel ist es, mit der neuen DPA-Komponente des Network Monitor fortschrittliche Bedrohungen innerhalb des Firmennetzwerks möglichst schnell und präzise zu erkennen, um etwa Betriebsunterbrechungen zu reduzieren und die Arbeit von IT-Security-Teams effizienter zu machen.

Neben dem Erkennen fortschrittlicher Bedrohungen soll DPA auch die Reaktion auf erkannte Angriffe automatisieren, da Sicherheitsverantwortliche laut Anbieter damit individuelle Regeln für die unmittelbare Analyse von Datenpaketen festlegen könnten. Darüber hinaus erweitere Deep Packet-Analytik auch die sogenannten SmartCapture-Richtlinien, um bei bestimmten Netzwerkaktivitäten verdächtige Daten- oder Anwendungspakete innerhalb des Traffics zu erfassen. Hierin einbezogen werden außerdem von Network Monitor 3 bereitgestellte Indikatoren wahrscheinlicher Angriffe.

Weitere neue Funktionen der aktuellen Version sind eine erweiterte Visualisierung großer Datenmengen, wodurch sich das Erkennen von und das Reagieren auf Bedrohungen beschleunigen lassen soll. Außerdem erfasst Network Monitor 3 im Vergleich zu Version 2 nun über 1000 Applikationen mehr und kommt laut LogRhythm damit insgesamt auf über 2700.

Weiterhin wurden die Funktionen zur Extraktion von Dateien, Bildern und anderen Inhalten aus Datenpaketen erweitert. Das soll die Analyse von Zwischenfällen ebenso erleichtern wie die Reaktion darauf. Gleichzeitig sollen Pakete über die REST-API nun schneller und effizienter erfasst werden können, da Letztere Zugriff auf die Paketdaten der LogRhythm Security Intelligence Platform (PDF) oder einer anderen beliebigen Applikation bietet.

“Den meisten Organisationen entgehen immer mehr der fortschrittlichen Bedrohungen, denen ihr Netzwerk heute ausgesetzt ist”, sagte Chris Petersen, CTO und Mitgründer von LogRhythm. “Eine höhere Transparenz bei verdächtigen Netzwerkaktivitäten, leistungsfähige Analytikfunktionen sowie die Voraussetzungen, effizient auf Zwischenfälle reagieren zu können sind allerdings notwendig, um diese Gefahren zu erkennen und einzudämmen, bevor größerer Schaden entsteht. Das ist exakt der Grund, warum wir unseren Kunden den Network Monitor anbieten.”

Network Monitor 3 ist laut Anbieter ab sofort sowohl als eigenständige Lösung als auch in Form einer vollständig integrierten Komponente der LogRhythm Security Intelligence Platform verfügbar. Diese umfasst die Komponenten SIEM, Log-Management, Monitoring der Dateiintegrität sowie Netzwerk- und Hostforensik. Damit soll es Firmen möglich werden, Sicherheitslücken und auch komplexe Cyber-Bedrohungen zu erkennen.