von Redaktion IT-A…
Lesezeit
1 Minute
Einblicke in die Cloud
Sophos hat sein Extended-Detection-and-Response-System erweitert und fügt neben Aktivitätsprotokollen von AWS auch die von Azure und Google Cloud Platform hinzu. So erhalten IT- und Sicherheitsteams einen Überblick über die Sicherheit ihrer Public-Cloud-Umgebungen.
Durch die Integration von Daten aus dem Sophos-Cloud-Security-Management-System "Cloud Optix" [1] ermöglicht Sophos XDR die Erkennung, Bewertung und Absicherung von Sicherheitsfehlkonfigurationen und Schwachstellen in den Cloud-Workloads und bei Benutzerzugriffen. Mithilfe vorkonfigurierter und anpassbarer SQL-Abfragen lassen sich Zugriffsversuche über kompromittierte Rollen oder neu erstellte Benutzerrollen und Ressourcen, die auf dauerhafte Kompromittierungen sowie Taktiken zur Privilegienerweiterung und Exfiltration hinweisen, aufdecken.
Das Herzstück von Sophos XDR ist ein umfangreicher Datensatz: Es werden zum einen bis zu 90 Tage On-Device-Daten und zum anderen bis zu 30 Tage produktübergreifende Daten im Cloud-basierten Data Lake gespeichert. Der Ansatz, On-Device- und Data-Lake-Forensik zu kombinieren, verspricht laut Anbieter umfassende und kontextbezogene Einblicke. Diese können von Sicherheitsanalysten über Sophos Central und über offene APIs zur Einbindung in weitere Systeme genutzt werden – darunter Security Information and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR), Professional Service Automation (PSA) oder Remote Monitoring and Management (RMM).
Informationen zusammenführen
Der Data Lake enthält Informationen von Intercept X, Intercept X für Server, Sophos Firewall, Sophos E-Mail und Sophos Cloud Optix. Sicherheits- und IT-Teams sind in der Lage, einfach auf diese Daten zuzugreifen, um produktübergreifende Bedrohungsuntersuchungen durchzuführen und schnell granulare Details zu vergangenen und aktuellen Angriffsaktivitäten zu erhalten.
Die Verfügbarkeit des Offline-Zugriffs auf historische Daten schützt zusätzlich vor verlorenen oder beeinträchtigten Geräten. Diese vernetzte Multicloud-Sicherheit von einer zentralen Konsole aus helfe den Teams bei Untersuchungen das Gesamtbild zu sehen, Risiken schnell zu erkennen und Sicherheitsvorfälle proaktiv zu verhindern.
Benutzeraktivitäten im Blick
Neue SophosAI-Modelle analysieren ferner die Benutzeraktivitätsprotokolle von AWS CloudTrail. Dadurch kann Cloud Optix ein Bild der Aktivitäten einzelner Benutzerrollen erstellen, um sowohl versehentliche Änderungen als auch böswillige Aktivitäten von kompromittierten Rollen zu identifizieren.
Es biete eine klare und detaillierte Zeitleistenansicht von AWS CloudTrail-Ereignisse und identifiziert risikoreiche Anomalien, etwa Aktionen, die außerhalb der normalen Arbeitszeiten durchgeführt werden, oder solche, die noch nie zuvor durchgeführt wurden. Mit diesem Update lässt sich die Anzahl der Warnmeldungen für Sicherheitsteams drastisch reduzieren, so dass diese sich auf die Untersuchung von risikoreichen Verhaltensmustern, konzentrieren können.
dr
[1] https://optix.sophos.com/releasenotes/
Das Herzstück von Sophos XDR ist ein umfangreicher Datensatz: Es werden zum einen bis zu 90 Tage On-Device-Daten und zum anderen bis zu 30 Tage produktübergreifende Daten im Cloud-basierten Data Lake gespeichert. Der Ansatz, On-Device- und Data-Lake-Forensik zu kombinieren, verspricht laut Anbieter umfassende und kontextbezogene Einblicke. Diese können von Sicherheitsanalysten über Sophos Central und über offene APIs zur Einbindung in weitere Systeme genutzt werden – darunter Security Information and Event Management (SIEM), Security Orchestration, Automation and Response (SOAR), Professional Service Automation (PSA) oder Remote Monitoring and Management (RMM).
Informationen zusammenführen
Der Data Lake enthält Informationen von Intercept X, Intercept X für Server, Sophos Firewall, Sophos E-Mail und Sophos Cloud Optix. Sicherheits- und IT-Teams sind in der Lage, einfach auf diese Daten zuzugreifen, um produktübergreifende Bedrohungsuntersuchungen durchzuführen und schnell granulare Details zu vergangenen und aktuellen Angriffsaktivitäten zu erhalten.
Die Verfügbarkeit des Offline-Zugriffs auf historische Daten schützt zusätzlich vor verlorenen oder beeinträchtigten Geräten. Diese vernetzte Multicloud-Sicherheit von einer zentralen Konsole aus helfe den Teams bei Untersuchungen das Gesamtbild zu sehen, Risiken schnell zu erkennen und Sicherheitsvorfälle proaktiv zu verhindern.
Benutzeraktivitäten im Blick
Neue SophosAI-Modelle analysieren ferner die Benutzeraktivitätsprotokolle von AWS CloudTrail. Dadurch kann Cloud Optix ein Bild der Aktivitäten einzelner Benutzerrollen erstellen, um sowohl versehentliche Änderungen als auch böswillige Aktivitäten von kompromittierten Rollen zu identifizieren.
Es biete eine klare und detaillierte Zeitleistenansicht von AWS CloudTrail-Ereignisse und identifiziert risikoreiche Anomalien, etwa Aktionen, die außerhalb der normalen Arbeitszeiten durchgeführt werden, oder solche, die noch nie zuvor durchgeführt wurden. Mit diesem Update lässt sich die Anzahl der Warnmeldungen für Sicherheitsteams drastisch reduzieren, so dass diese sich auf die Untersuchung von risikoreichen Verhaltensmustern, konzentrieren können.
dr
[1] https://optix.sophos.com/releasenotes/
