ThreatEye NV
KI-gesteuerte Erkennung von Unternehmensbedrohungen
und Analyse des verschlüsselten Datenverkehrs

LiveAction ThreatEye Screenshot - AI-Driven Detection of Enterprise Threats and Analysis of Encrypted Data Traffic

Optimieren Sie Ihr gesamtes Netzwerk
from Core to Edge to Cloud

Bedrohungsakteure brechen nicht mehr ein, sie melden sich einfach an. Sie operieren innerhalb des verschlüsselten Datenverkehrs und bewegen sich unbemerkt durch Ihr Netzwerk. Herkömmliche Sicherheitslösungen reichen nicht mehr aus, es ist Zeit für einen neuen Ansatz.

Die Netzwerkerkennungs- und Reaktionsplattform ThreatEye NV wurde speziell für die Netzwerksicherheit entwickelt und kombiniert Datenerfassung der nächsten Generation, fortschrittliche Verhaltensanalyse und maschinelles Lernen für die Erkennung von Bedrohungen und die Einhaltung von Sicherheitsvorschriften.

KI-gesteuerte Analyse von verschlüsseltem Datenverkehr

ThreatEye - Deep Packet Dynamics

Deep
Packet Dynamics

150+ Packet Traits & Behaviors in vernetzten Umgebungen mit mehreren Anbietern, mehreren Domänen und mehreren Clouds.
Unabhängig von den Paketinhalten.

ThreatEye - Maschinelles Lernen

Maschinelles
Lernen

Skalierbare Echtzeit-Analyse der Dynamik von Datenpaketen.
Speziell für die Sicherheit von Unternehmensnetzwerken entwickelt.

ThreatEye - Analyse von verschlüsseltem Netzwerkdatenverkehrs

Analyse von verschlüsseltem Verkehr

Erkennen, was andere übersehen. Verwertbare Intelligenz. Beseitigen Sie Verschlüsselungsblindheit. Überprüfen Sie die Konformität der Ende-zu-Ende-Verschlüsselung.

Die Sichtbarkeit des verschlüsselten Datenverkehrs
ist der Schlüssel zur Sicherheit

Die zunehmende Einführung verschlüsselter Netzwerkprotokolle führt dazu, dass Sicherheitsteams immer weniger Einblick in das Netzwerk haben.

Veraltete Tools verlieren an Transparenz. Encrypted Traffic Analysis, die Applikation von maschinellem Lernen auf die Paketdynamik, ist die perfekte Lösung für die Analyse von verschlüsseltem Datenverkehr, ohne dass eine Entschlüsselung erforderlich ist.

Sparen Sie Ausfallzeiten durch schnellere Erkennung dank branchenführender Echtzeit-Erkennungsanalyse. Die mehrstufige Analysepipeline von ThreatEye NV ist auf die Verarbeitung von Millionen von Ereignissen pro Sekunde ausgelegt und wird von Analysatoren – oder Modellen – gespeist, die den Netzwerkverkehr ohne mehrfache Durchläufe des Datenstroms analysieren.

Die Analysatoren sind speziell für die Netzwerksicherheit entwickelt worden und skalieren durch parallele Verarbeitung.

LiveAction ThreatEye -Navigation Dashboard - Screenshot

LiveAction ThreatEye - Alerts Dashboard - Screenshot

Bedrohungen erkennen,
die andere übersehen

Deep Packet Dynamics (DPD) von ThreatEye ist unabhängig vom Inhalt der Datenpakete und dient zur Erstellung eines historischen Inventars von Merkmalen und Verhaltensweisen für die Erstellung von Profilen und Fingerabdrücken – eine Technik, die sowohl mit verschlüsseltem als auch mit unverschlüsseltem Datenverkehr funktioniert.

Modelle des maschinellen Lernens werden angewandt, um Anomalien bei fortgeschrittenen Verhaltensweisen von Bedrohungsakteuren zu identifizieren, darunter Phishing, unautorisierter Fernzugriff (RDP/VPN), Aufklärung, laterale Bewegungen, C2, Tunnelling, Hands-on-Keyboard und Datenexfiltration.

Minimieren der Untersuchungszeit
SOC-Enabled

Erhöhen Sie die Effektivität des SOC, indem Sie die Reaktionsgeschwindigkeit erhöhen. Die mehrstufige Analysepipeline von ThreatEye NV korreliert den Datenverkehr und reichert ihn mit detaillierten Erkenntnissen, Risikobewertungen und MITRE ATT&CK-Kennzeichnungen an.

Mit ThreatEye NV können Sie in Echtzeit reagieren und die Triage mit integrierter Paketanalyse beschleunigen.

LiveAction ThreatEye - Alerts Chart - Screenshot

LiveAction ThreatEye - Visualizations - - Screenshot

Anpassbare Dashboards
und erweiterte Berichte

ThreatEye NV bietet mehrere Workflows, die professionellen Analysten helfen, ein Profil ihres Netzwerks zu erstellen, und unterstützt sofort einsatzbereite Dashboards und anpassbare Berichte, die Probleme hervorheben und priorisieren, die sofortige Aufmerksamkeit erfordern.

Je länger es dauert, die Aktivitäten von Bedrohungsakteuren zu identifizieren, desto erfolgreicher wird ihr Angriff sein.

Gewährleistung der Konformität
von Plattformen hinsichtlich Sicherheitsstandards

ThreatEye NV bietet verschlüsselungsspezifische Warnmeldungen und Berichte für die Einhaltung von Sicherheitsvorschriften.

Der zunehmende Einsatz von Verschlüsselung zur Sicherung von Applikationen macht es erforderlich, dass alle Plattformen den Verschlüsselungsstandards des Unternehmens entsprechen.

LiveAction ThreatEye - IP-Filter - Screenshot

ThreatEye NV Datenblatt

Introduction of LiveAction ThreatEye NV

Geschäftskontinuität und betriebliche Ausfallsicherheit werden immer wieder angegriffen und in Frage gestellt. Herkömmliche Sicherheitstools versuchen, Angriffe zu stoppen, indem sie Deep Packet Inspection oder regelbasierte Überwachung für unverschlüsselten Datenverkehr einsetzen, was nicht mehr ausreicht.

Im 2. Quartal 2021 kamen 91,5 % der Malware über eine verschlüsselte Verbindung. Angreifer sind immer auf der Suche nach einem Vorteil, um unentdeckt zu bleiben, und verstecken ihre Aktivitäten in verschlüsselten Kanälen, um einen blinden Fleck oder eine Lücke in der Sicherheitsarchitektur auszunutzen.

Die Aufrechterhaltung der Transparenz ist zunehmend komplizierter geworden und stellt sowohl NetOps- als auch SecOps-Teams vor Herausforderungen. Verschlüsselter Datenverkehr ist zwar eine gängige Praxis, um den Datenschutz zu gewährleisten, aber seine Stärke und Effektivität hat sich weiterentwickelt und wird sich auch in Zukunft weiterentwickeln, wodurch sich der blinde Fleck, in dem Bedrohungsakteure operieren können, vergrößert.

Damit Unternehmen einen sofortigen Erfolg gegen Angreifer erzielen und den Bedrohungen von morgen einen Schritt voraus sein können, ist eine andere Sicherheitsstrategie erforderlich.

Eine neue Herangehensweise: Die ThreatEye NV Network Detection and Response (NDR)-Plattform wurde speziell für die heutige Netzwerksicherheitsumgebung entwickelt und kombiniert Datenerfassung der nächsten Generation, fortschrittliche Verhaltensanalyse und maschinelles Lernen für die Erkennung von Bedrohungen und die Einhaltung von Sicherheitsvorschriften.

Unbeeindruckt von der Verschlüsselung kombiniert ThreatEye NV die Merkmale und Eigenschaften des Netzwerkverkehrs mit einer auf maschinellem Lernen basierenden Streaming-Analyse.

Im Gegensatz zu Verkehrsanalyselösungen, die auf DPI-Technologien basieren, nutzt die ThreatEye-Plattform Deep Packet Dynamics (DPD) zur Analyse von Verkehrsströmen.

DPD liefert detailgetreue Datenflussaufzeichnungen mit über 150 Merkmalen für jeden Datenfluss – und das alles ohne Prüfung der Nutzdaten. Packet Dynamics, gekoppelt mit maschinellem Lernen, bietet einzigartige Möglichkeiten, verschlüsselten Datenverkehr wieder sichtbar zu machen.

Key Benefits

  • Erkennen Sie Bedrohungen und Anomalien, die andere übersehen – Deep Packet Dynamics (DPD) von ThreatEye ist unabhängig vom Inhalt der Datenpakete und wird verwendet, um ein historisches Inventar von Merkmalen und Verhaltensweisen für die Erstellung von Profilen und Fingerabdrücken zu erstellen – eine Technik, die sowohl bei verschlüsseltem als auch bei unverschlüsseltem Datenverkehr gleichermaßen gut funktioniert. Modelle des maschinellen Lernens werden eingesetzt, um Anomalien bei fortgeschrittenen Verhaltensweisen von Bedrohungsakteuren zu erkennen.
  • Bedrohungserkennung in Echtzeit – Reduzieren Sie Betriebsausfälle durch schnellere Erkennung dank branchenführender Echtzeit-Erkennungsanalyse. Die mehrstufige Analysepipeline von ThreatEye NV ist für die Verarbeitung von Millionen von Ereignissen pro Sekunde ausgelegt und wird von Analysatoren – oder Modellen – gespeist, die den Netzwerkverkehr ohne mehrfache Durchläufe des Datenstroms analysieren. Darüber hinaus sind die Analysatoren explizit für die Netzwerksicherheit konzipiert und skalieren durch Parallelverarbeitung.
  • Beseitigung der Verschlüsselungsblindheit – Die zunehmende Verbreitung von verschlüsselten Netzwerkprotokollen führt dazu, dass Sicherheitsteams immer weniger Einblick in das Netzwerk haben. Infolgedessen verlieren herkömmliche Tools an Transparenz. Encrypted Traffic Analysis, die Applikation von maschinellem Lernen auf die Dynamik von Datenpaketen, ist die perfekte Lösung für die Analyse von verschlüsseltem Datenverkehr ohne Entschlüsselung
  • SOC-fähig – Verkürzung der Untersuchungs- und Reaktionszeit – Die mehrstufige Analysepipeline von ThreatEye NV korreliert den Datenverkehr und reichert ihn mit detaillierten Erkenntnissen, Risikobewertungen und MITRE ATT&CK-Kennzeichnung an. Mit ThreatEye NV können Sie in Echtzeit reagieren und die Triage mit integrierter Paketanalyse beschleunigen.
  • Überprüfung der Einhaltung von Verschlüsselungsrichtlinien – ThreatEye NV bietet verschlüsselungsrichtlinien-spezifische Warnmeldungen und Berichte zur Einhaltung von Sicherheitsrichtlinien. Der zunehmende Einsatz von Verschlüsselung zur Sicherung von Applikationen macht es erforderlich, dass alle Plattformen den Verschlüsselungsstandards des Unternehmens entsprechen.
  • Sichern Sie Ihr gesamtes Netzwerk – vom Core über den Edge bis hin zur Cloud – Die ThreatEye NV-Lösung umfasst leichtgewichtige, einfach zu implementierende Software-Sensoren, die überall dort eingesetzt werden können, wo Transparenz erforderlich ist.
  • Zusammenhängende Reaktion – ThreatEye NV lässt sich nahtlos mit vorhandenen Sicherheitstools wie SIEMs, SOAR und Threat Intelligence verbinden. Workflow-Automatisierungen mit Produkten wie Cisco SecureX können sofortige Maßnahmen auf Sicherheitsereignisse ergreifen, um Hosts unter Quarantäne zu stellen oder Bedrohungen zu blockieren. Die SIEM-Integration ermöglicht die Korrelation mit EDR-Ereignissen und böswilligen Aktivitäten auf bisher unbemerkten verschlüsselten Kanälen.

LiveAction ThreatEye NV - MetaData-Enrichment

Die Sonde von ThreatEye NV extrahiert ein umfangreiches Metadatenset mit mehr als 150 dynamischen Paketmerkmalen, um die Erkennung von Bedrohungen und Anomalien, die Reaktion, die Suche, die Forensik und die Erstellung von Berichten zur Überprüfung der Compliance zu unterstützen.

Da sich die auf der Paketdynamik basierenden Metadaten auf die Eigenschaften und das Verhalten von Paketen und nicht auf deren Inhalt konzentrieren, funktioniert diese Technik der Datenerfassung sowohl bei verschlüsseltem als auch bei unverschlüsseltem Datenverkehr gleichermaßen gut.

Beispiele für die Anreicherung von Metadaten sind:

  • Byte Distributionen
  • SPLT (Sequence of Packet Lengths and Times)
  • Jitter
  • Producer/Consumer Ratio
  • Retransmits
  • Connection Setup Zeit
  • Round Trip Zeit
  • Setup Latency RTT
  • Per Flow Metriken
  • Intra-flow Statistiken
  • Extended Flow Attribute
  • TCP-Metriken

  • Verhaltensbezogene Metriken
  • L7 Appl. Classification
  • Internal Network Labeling
  • Ländercode
  • ASN
  • Breitengrad / Längengrad
  • Serviceprovider-Typ
  • JA3 / TLS Fingerprint
  • DNS
  • OS Fingerprint
  • MITRE @TTACK – TTPs

LiveAction ThreatEye NV Streaming Analysis

ThreatEye NV wird von einer Streaming-Machine für maschinelles Lernen (MLE) angetrieben, die die von den Softwaresonden generierten Metadaten in hoher Qualität aufnimmt.

Die ML-Engine von ThreatEye NV ist speziell für die Netzwerksicherheit entwickelt worden. Im Gegensatz zur traditionellen Batch-Verarbeitung wird Streaming ML von Analysatoren – oder Modellen – angetrieben, die den Netzwerkverkehr ohne mehrfache Durchläufe des Datenstroms analysieren können. Die Analyzer sind für bestimmte Anwendungsfälle konzipiert und skalieren durch parallele Verarbeitung.

Analysatoren zur Erkennung von Bedrohungen

  • Unerwartete Verschlüsselung
  • Unerwarteter Klartext
  • Nicht zugewiesene Verschlüsselung
  • Neue Verschlüsselungserkennung
  • Neues verschlüsseltes Client-Zertifikat
  • Neues verschlüsseltes Server-Zertifikat
  • Neues Verschlüsselungsprotokoll
  • Neues Verschlüsselungsprotokollversion
  • Neue Verschlüsselungs-Chiffre
  • Neuer Verschlüsselungsdienst (Netzwerk, Host)
  • Neuer Verschlüsselungsbenutzer
  • Neuer SSH-Client
  • Neuer SSH-Server
  • Neues TLS SHA1
  • Neue TLS-Version
  • Verschlüsselung auf dem von IANA reservierten Port
  • Verschlüsselung auf einem nicht von IANA zugewiesenen Port
  • Verschlüsselung Handshake-Cache
  • TLS Policy –TLS 1.1 vs. 1.2 or 1.3
  • Unautorisierter DNS-Server
  • Unautorisierte TLS-Version
  • Phishing-Versuch-Erkennung
  • TLS selbstsigniertes Zertifikat
  • TLS-Zertifikat abgelaufen
  • TLS-Zertifikat stimmt nicht überein
  • Bösartiger JA3-Fingerprint
  • Bösartiges SHA1-Zertifikat
  • TLS ohne SNI
  • TLS Verbindungen, die kein HTTPS übertragen
  • TLS veraltete Version
  • TLS schwache Verschlüsselung
  • TLS-verdächtige ESNI-Nutzung
  • TLS Uncommon ALPN
  • SSH/SMB obsoletes Protokoll
  • HTTP verdächtiger User-Agent
  • HTTP numerischer IP-Host kontaktiert
  • HTTP verdächtige URL
  • HTTP verdächtige Protokoll-Header
  • HTTP verdächtige Inhalt
  • Fehlerhaftes Paket
  • Unsicheres Protokoll verwendet
  • Verdächtiger DNS-Verkehr
  • XSS (Cross-Site Scripting)
  • SQL-Injection
  • Code-Injektion/Ausführung
  • Binary/.exe Applikationsübertragung
  • Bekanntes Protokoll auf einem nicht standardisierten Port
  • RDP auf einem nicht standardisierten Port
  • Risikante ASN

  • Riskanter Domain-Name
  • Desktop von File-Sharing-Session
  • Tastendruck-Erkennung
  • Fehlgeschlagene/erfolgreiche RDP-Anmeldung
  • DNS-Tunneling-Erkennung
  • Verbindungsstatus
  • Unautorisierte Applikationsnutzung
    • DHCP
    • FTP
    • NTP
    • RDP
    • SMB
    • SMTP
    • SSH
    • TELNET
  • Erlaubte Server (DNS, DHCP, NTP, et al.)
  • Neue lokale Server-Inferenz (DNS, DHCP, HTTP, HTTPS, etc.)
  • IP-Überwachungsliste
  • IP TTL Anomalie
  • OS Fingerprinting
  • Brute Force Attempt Erkennung (RDP/SSH/VPN)
  • Brute Force – Erfolgreiche Verbindung nach Brute-Force-Versuch
  • Device Producer/Consumer Ratio Veränderung
  • Ratio Device Connection Jitter
  • Timing-Histogramm
  • Domain-Frequenz
  • Passives DNS-Caching
  • DOH-Erkennung (DNS over TLS/HTTPS/QUIC)
  • DNS Change-Erkennung
  • DGA Domain-Erkennung
  • Verdächtige DGA-Domain kontaktiert
  • Verdächtiger DNS-Verkehr
  • Threat Intelligence – IP-Reputation
  • Threat Intelligence – Domain-Reputation
  • Custom Threat Intelligence (Bring Your Own List)
  • DNS-Tunneling
  • LOG4J Scanning-Erkennung
  • LOG4J Anfrage-Erkennung
  • Hands-on-keyboard (Tastendruck-Erkennung)
  • Lateral Movement
  • Degradation
  • Data Staging
  • Übermäßiger Verbrauch
  • Übermäßige Interaktionen
  • Exfiltration von Daten

Das SaaS-Angebot von ThreatEye NV umfasst SOC-fähige Dashboards zur Steigerung der Reaktionsfähigkeit. Die Dashboards unterstützen die Arbeitsabläufe von SOC-Analysten und sind vollständig anpassbar, um allen Anforderungen gerecht zu werden. ThreatEye NV unterstützt zudem Reaktionsmöglichkeiten, um zu informieren als auch Maßnahmen zu ergreifen.

Alle Daten sind in Echtzeit und via RESTful API verfügbar und integrieren wichtige ergänzende Technologien. Individuelle Integrationen können auf die Bedürfnisse Ihres Unternehmens zugeschnitten werden. Die leistungsstarken Integrationen von ThreatEye NV sind in der Lage, auf der Grundlage des Technologie-Stacks des Kunden Abhilfe zu schaffen und zu handeln.

Investigate and Hunt:

  • Integrierte kontinuierliche Paketerfassung mit Pivot-to-PCAP SPLT (Sequence of Packet Lengths and Times) mit einem Mausklick

Available Integrations include:

  • ElasticSearch
  • DataDog
  • Azure
  • InfluxDB
  • Splunk
  • Kafka – Realtime-Streaming
  • Crowdstrike
  • Cisco Secure X
  • Cortex XSOAR

Response Actions include:

  • email
  • webhook
  • index
  • logging
  • slack
  • pagerduty

ThreatEye NV ist ein SaaS-Angebot mit Software-Sensoren, die als containerisierte Software-Applikationen bereitgestellt werden. Dieser Container-Ansatz ermöglicht die Bereitstellung der Lösung entweder vor Ort, in einer privaten oder öffentlichen Cloud oder einer Mischung aus beidem (Hybrid Cloud).

Unabhängig von der Bereitstellungsoption lassen sich die Softwarekomponenten von ThreatEye NV so skalieren, dass sie Netzwerkdaten direkt von physischen oder virtuellen Netzwerkabgriffen mit einer Geschwindigkeit von bis zu 40 Gbps erfassen.

Informieren Sie sich noch heute über das POC-Programm von ThreatEye.

ThreatEye-Software ist im Jahresabonnement erhältlich. Support inbegriffen.

Mindestanforderungen: Die Hardware-Empfehlungen von ThreatEye NV basieren auf einer standardmäßigen Zusammensetzung des Internetverkehrs pro Bandbreite. Daher kann sich die Zusammensetzung des Netzwerkverkehrs auf die Performance auswirken.

Bandbreite Spezifikationen
1 Gbps 4x Prozessorkerne CentOS 7 oder anderes Docker-kompatibles Linux OS mit 16GB Hauptspeicher 4GB Speicherplatz, 2x 1G Netzwerkkarten (eine für das Management, eine für das Monitoring)
10-20 Gbps 48x Prozessorkerne CentOS 7 oder anderes Docker-kompatibles Linux OS mit 64GB Hauptspeicher 128GB Speicherplatz, Recommended Intel X710 2x10G (SFP+) Netzwerkkarte und 1x1G für das Management
40 Gbps 48x Prozessorkerne CentOS 7 oder anderes Docker-kompatibles Linux OS mit 96GB Hauptspeicher 128GB Speicherplatz, Napatech SmartNIC 4x10G (SFP+) Netzwerkkarte, und 1x1G für das Management

LiveAction

Kontaktieren Sie uns
Trial/Test-Version

DOWNLOADS

Case Study Download - ThreatEye NDR and Wallstreet company
Case Study - ThreatEye & Wallstreet Financial Services Company
Datasheet Download - LiveAction ThreatEye NV - KI-gestützte Analyse von verschlüsseltem Netzwerdatenverkehr
Datasheet - ThreatEye NV
Whitepaper Download - _ThreatEye - How Enycrypted Traffic Analysis (ETA) works
Whitepaper - How Encrytped Traffic Analysis works
Datasheet Download - ThreatEye - What-is-an-Analyser?
Datasheet - What is an Analyser?
Whitepaper Download - ThreatEye - -Cover_ThreatEye - Tidy Data for Network Traffic Analysis
Whitepaper - Tidy Data for Network Traffic Analysis

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!