您当前的位置:   首页 > 解决方案
融合McAfee和Thales的SIEM高级威胁检测解决方案
发布时间:2020-03-08 19:20:23   阅读次数:

融合McAfee和Thales的SIEM高级威胁检测解决方案(图1)

越过边界,阻止针对数据的攻击

如果您已经部署了McAfee®Enterprise Security Manager来收集、分析和报告高级外围攻击。 现在,您可以越过边界了解内部发生的情况,包括服务器上的活动,正在访问文件和数据库的人员,哪些特权用户正在访问您的数据以及表明可能未被检测到的恶意软件或高级持久性威胁(APT)的行为。 


保护您最宝贵的资产

他们说信息就是力量。当涉及每天遍历您的分布式物理或基于云的环境的数据时,肯定是这种情况。员工,合作伙伴,供应商,客户和许多其他用户社区定期利用我们的企业数据,这是您企业的生命线。


这就是为什么黑客不断建立“更好的捕鼠器”来破坏您的安全性,获取他们想要的有价值的信息并通过使用它或将其出售给出价最高的人来获利的原因。即使是相对较小的违规,也可能造成无法弥补的损害,违反法规遵从性,并使组织面临风险。一些组织永远无法恢复。


高级威胁需要高级安全性

分层的深度防御对于企业至关重要。但是,仅依靠外围防御的日子已经一去不复返了。仅依靠防火墙和入侵检测系统(IDS)/入侵保护系统(IPS)不再足够了。确保已安装适当的防病毒软件;并密切关注您的网络。随着利用云和虚拟化的分布式环境的广泛采用,边界不再存在。


如今的攻击更加复杂,包括零日攻击和针对性攻击,社会工程和鱼叉式网络钓鱼,所有这些攻击旨在建立滩头堡,挖掘您的私有数据和关键IP,并尽可能长时间地保持数据挖掘操作不被发现。


抵御这些攻击的一些最有效工具是安全信息和事件管理(SIEM)解决方案的威胁和安全智能功能。 SIEM解决方案可以监视实时事件和大量长期数据,以发现异常的使用模式,确定可能的安全和合规性威胁,以减少误报,并在需要时向组织发出警报。


从Thales中将Vormetric Data Security Manager添加到McAfee Enterprise Security Manager中,将使您可以了解周边情况,包括服务器活动,谁在访问文件和数据库,特权用户(例如管理员)在做什么以及做什么。恶意软件或APT可能已经越过边界而未被发现。它还将保护没有清晰边界的基于云的环境。


保护企业的下一步

McAfee Enterprise Security Manager是McAfee的基础SIEM解决方案,以安全组织识别,理解和应对隐匿威胁所需的速度和规模提供性能,可操作的情报和实时态势感知,而嵌入式框架则可以简化您审核和主动报告合规性的能力。


Thales是企业数据保护领域的领导者,无论位于物理、虚拟、云和大数据环境中的任何位置,均可通过加密访问控制和密钥管理来保护基本的结构化和非结构化数据。在执行加密规则时和这些环境中的数据访问控制,泰雷兹(Thales)的Vormetric解决方案收集、警告和记录外围安全产品遗漏的信息。它为McAfee Enterprise Security Manager提供了有关在服务器上访问文件的对象、时间和方式的新可见性。现在,可以轻松地可视化,跟踪和警报有关用户和进程访问文件的信息,以及可能绕过外围防御的潜在安全性和合规性威胁。详细信息以RFC5424或CEF日志的形式表示,它们表示可以使用McAfee Enterprise Security Manager的安全性和合规性功能进行分析的基本数据,以识别可能构成威胁的使用模式。这些数据包括:

  • APT:查找异常活动的模式,这些模式指示用户或进程已受到威胁。例如,突然开始访问大量数据的管理帐户可能表明用户受到威胁。

  • 合规报告:通过了解网络内部发生的情况,可以对潜在的法规和公司合规违规行为有了新的了解。借助包括日志记录,警报和报告在内的新功能,您可以向公司领导和监管机构主动演示“前向”合规性执法。

  • 恶意内部人员:使用相同的活动模式识别工具来识别受感染的用户,也可能表明内部人员怀有仇恨并决定从自己的职位中获利。

融合McAfee和Thales的SIEM高级威胁检测解决方案(图2)

Thales的Vormetric解决方案不仅仅提供可以识别异常使用模式的数据;它们还包括数据访问实施和审核。仅允许的帐户和进程有权访问未加密的数据(即使超级用户和管理员也无法访问)。通过监视未经授权的访问尝试产生的数据可以进行分析以调查可能的威胁。甚至可以获得有关尝试访问Vormetric管理基础结构的信息,使企业能够“监视监视者”,以确保安全性和管理帐户不受影响。


除了异常活动识别,Vormetric日志数据与McAfee Enterprise Security Manager的结合还可以查看以下内容:

根/用户模拟:检测用户是否更改了访问级别,或者是否假装不是操作系统管理员或超级用户,或者管理员是否已切换其用户状态来模拟授权用户。

  • 识别用户访问的所有文件:帮助调查被怀疑的人。

  • 记录文件活动权利:标识管理用户的不寻常实例,这些用户创建了具有访问受保护数据的权限的新管理帐户,这些数据可能表明受保护的管理帐户已被破坏

  • 休眠用户审核:执行审核以发现可能构成风险的休眠用户或主机以及未使用的访问权限。


McAfee Enterprise Security Manager和Vormetric Data Security Manager

Vormetric Data Security Manager 5.2.1和McAfee Enterprise Security Manager可以保护您的组织免受可能破坏声誉和业务的威胁。

  • 自动查明用户访问受保护数据的异常模式。

  • 审核、报告并主动证明公司和法规的合规性。

  • 检测进行未经授权访问的恶意内部人员。

  • 监视异常过程并访问受保护的数据,这些数据可能表明正在进行探测,侦察或攻击。

  • 减少通常需要梳理的数据量,并专注于安全事件的优先列表。

  • 根据安全威胁和警报的严重性,在粒度级别上定义操作。




揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609