Copyright © 2023 DAG s.c., All rights reserved.
Pytania i odpowiedzi
- Home
- Wiedza i pomoc
- blog-faq
FAQ
Co to jest Group-IB XDR?
Cybergen XDR firmy to konwergentne rozwiązanie zapewniające organizacjom dostęp do możliwości polowania na zagrożenia i remediacji poprzez jeden interfejs. Rozwiązanie składa się z kilku najlepszych w swojej klasie technologii:
EDR (Endpoint detection and response) – wykrywa złośliwą aktywność w punktach końcowych poprzez wykorzystanie danych z wywiadu o zagrożeniach, sygnatur i analizy behawioralnej. Organizacje mogą wykorzystać EDR do reagowania na zagrożenia: blokowania plików przed uruchomieniem, zabijania procesów i izolowania hostów od sieci.
NTA (analiza ruchu sieciowego) – Odkryj anomalie i ukryte kanały komunikacyjne oraz przypisz zagrożenia za pomocą NTA. Złośliwa aktywność w ruchu sieciowym jest wykrywana poprzez analizę plików i linków wyodrębnionych z ruchu sieciowego, magazynu plików i serwerów proxy. Dane te są wykorzystywane do przypisywania zagrożeń.
BEP – Business Email Protection zabezpiecza korporacyjną pocztę elektroniczną hostowaną w chmurze lub on-premises. Rozwiązanie detonuje i analizuje podejrzane załączniki i linki w odizolowanych środowiskach, identyfikuje ataki i blokuje je, zanim dotrą do celu.
MDP – platforma detonacji złośliwego oprogramowania uruchamia podejrzane pliki i łącza w środowiskach piaskownicowych w celu przeprowadzenia rozległej analizy, wykrycia zagrożeń, ekstrakcji IoC i przypisania ataku.
Czy Business Email Protection można zintegrować G-Suite i Office 365?
Aby jeszcze bardziej usprawnić wykrywanie i reagowanie, Group-IB wspiera integrację na poziomie API pomiędzy Business Email Protection a popularnymi narzędziami produktywności, takimi jak G-Suite i Office 365.
Czy Cybergen XDR może być zintegrowany z moim istniejącym ekosystemem bezpieczeństwa (np. SIEM)?
Tak, Group-IB zapewnia szereg integracji out-of-the-box z popularnymi rozwiązaniami takimi jak SIEM. Dostępne są również elastyczne interfejsy API, które umożliwiają integrację Cybergen XDR z dowolnymi narzędziami innych firm, w tym z tworzonymi na zamówienie pulpitami.
Czy Group-IB XDR może być użyty do proaktywnego polowania na zagrożenia?
Tak, rozwiązanie XDR zapewnia pełną widoczność operacji bezpieczeństwa, w tym punktów końcowych, serwerów, poczty elektronicznej i ruchu sieciowego. Ujednolicony pulpit nawigacyjny zestawia telemetrię z każdego ze źródeł, koreluje alerty i identyfikuje zagrożenia za pomocą silnika uczenia maszynowego. Zespoły bezpieczeństwa mogą łatwo testować hipotezy i wyszukiwać zagrożenia za pomocą intuicyjnych zapytań.
Organizacje, które nie dysponują odpowiednią wiedzą lub personelem, aby przeprowadzać łowy na zagrożenia, mogą skorzystać z oferty usług zarządzanych firmy Group-IB. Zapewnieni przez wysoko wyszkolonych analityków mogą pomóc w przypisaniu zagrożeń, zrozumieniu TTP specyficznych dla danej firmy i opracowaniu zaleceń dotyczących poprawy stanu bezpieczeństwa.
Czy Group-IB XDR może być zintegrowany z moim istniejącym ekosystemem bezpieczeństwa (np. SIEM)?
Tak, Group-IB zapewnia szereg integracji out-of-the-box z popularnymi rozwiązaniami takimi jak SIEM. Dostępne są również elastyczne interfejsy API, które umożliwiają integrację Cybergen XDR z dowolnymi narzędziami innych firm, w tym z tworzonymi na zamówienie pulpitami.
Czym Business Email Protection różni się od innych rozwiązań zabezpieczających pocztę elektroniczną w chmurze?
Większość rozwiązań do ochrony poczty elektronicznej w chmurze wykorzystuje piaskownice z ogólnymi obrazami, trasami ruchu, nazwami użytkowników i innymi parametrami, które są łatwe do obejścia przez napastników. Business Email Protection wykorzystuje wysoce konfigurowalne maszyny wirtualne, które wydają się atakującym prawdziwym środowiskiem. Rozwiązanie Group-IB Business Email Protection analizuje również obiekty, które mogą zmienić swój stan w czasie, blokując je, jeśli staną się złośliwe.
Czym Group-IB Attack Surface Management różni się od skanera podatności?
Attack Surface Management Group-IB koncentruje się na identyfikacji pełnej powierzchni ataku, w tym zasobów zewnętrznych, o których nie wiesz, takich jak shadow IT, zapomniana infrastruktura i źle skonfigurowane bazy danych, które są przypadkowo wystawione na widok publiczny. Różni się to od skanerów podatności, które muszą mieć określony zakres IP znanych aktywów, aby działać.Rozwiązanie Group-IB Business Email Protection analizuje również obiekty, które mogą zmienić swój stan w czasie, blokując je, jeśli staną się złośliwe.
Jak często aktualizowany jest Group-IB XDR?
Group-IB stale aktualizuje inteligencję wykorzystywaną przez XDR w celu identyfikacji zagrożeń w czasie rzeczywistym. Silniki uczenia maszynowego i analitycy pracują nad aktualizacją i udoskonaleniem TTP, IoC, profili złośliwego oprogramowania i innych z najnowszymi spostrzeżeniami w miarę ich odkrywania.
Jak długo trwa konfiguracja Business Email Protection?
Business Email Protection można skonfigurować w ciągu kilku minut; lokator w chmurze jest tworzony automatycznie po zatwierdzeniu wniosku o przeprowadzenie próby. Integracja jest bardzo prosta i wdrożona jako rozwiązanie bramy. Po prostu skonfiguruj swoją nazwę domeny i Business Email Protection zacznie zapewniać ochronę w momencie, gdy rekordy DNS zostaną zaktualizowane.
Jak długo trwa wdrożenie? Czy muszę stworzyć nową infrastrukturę?
Po uzyskaniu dostępu do Group-IB Attack Surface Management wystarczy kilka kliknięć, aby zmapować całą powierzchnię ataku firmy. Nie są wymagane żadne agenty, integracje ani większe konfiguracje.
Jak działa Attack Surface Management firmy Group-IB? W jaki sposób jest w stanie zmapować całą moją infrastrukturę?
Group-IB skanuje cały Internet w celu identyfikacji i indeksowania infrastruktury korporacyjnej. Relacje między tymi aktywami są następnie mapowane poprzez cyfrowe połączenia, takie jak subdomeny, certyfikaty SSL, rekordy DNS i inne techniki wykrywania. Kiedy wprowadzisz domenę swojej organizacji, system może natychmiast zidentyfikować Twoją infrastrukturę. Jest ona następnie wzbogacona o techniki wykrywania w czasie rzeczywistym oraz walidację zabezpieczeń w celu zidentyfikowania problemów i podniesienia alarmów w celu ich usunięcia.
Jak mogę rozpocząć proof of concept dla Group-IB XDR?
Aby rozpocząć POC, wystarczy poprosić o demo, wypełniając poniższy formularz. W większości przypadków wystarczy podać kilka urządzeń końcowych w Państwa środowisku IT, aby sprecyzować zakres i POC jest gotowy do rozpoczęcia.
Jak mogę rozpocząć Proof Of Concept dla Group-IB EDR?
Aby rozpocząć POC, wystarczy poprosić o demo, wypełniając poniższy formularz. W większości przypadków wystarczy podać kilka urządzeń końcowych w Państwa środowisku IT, aby sprecyzować zakres i POC jest gotowy do rozpoczęcia.
Jak uruchamiamy ochronę Twojej firmy?
W prostych sytuacjach, gdy nie masz własnej serwerowni, zabezpieczamy Twoje skrzynki pocztowe (bez ingerencji na urządzeniach) potem w zależności od potrzeb instalujemy sensory na Twoich urządzeniach (EDR), które nadzorują ich pracę i informują nas o wszelkich anomaliach. W razie potrzeby podejmują działania (np. odcinają urządzenie od sieci).
Monitorujemy wszystkie sygnały i w przypadku gdy potrzebna jest Twoja decyzja informujemy Cię.
W bardziej złożonych organizacjach (z własnym lub chmurowym serwerem plików, może nawet aplikacji sieciowych) sensor EDR jest instalowany również na nim. Jeśli macie sieć komputerową w biurze, w której oprócz osobistych urządzeń są urządzenia wspólne z ważnymi zasobami i istnieje ryzyko ich zaszyfrowania (ransomware) lub dowolne inne, instalujemy sensor sieciowy (NTA – XDR), który monitoruje ruch w całej Waszej sieci lokalnej. Wszystkie podejrzane elementy (linki w poczcie, załączniki), są sprawdzanie i detonowane na specjalnej platformie. O wynikach jesteśmy informowani i jeśli chcesz to Ty również.
Podsumowując jest to bardzo podobne do monitoringu biura czy budynku. Instalujemy niezbędne czujniki, czuwamy a razie potrzeby działamy i informujemy Cię. Dodatkowo możemy monitorować stan fizyczny Twoich urządzeń lub nawet aplikacji i informować Cię o konieczności np. wymiany dysku ponieważ ten monitorowany zgłasza, że się niedługo zepsuje.
Podsumowując jest to bardzo podobne do monitoringu biura czy budynku. Instalujemy niezbędne czujniki, czuwamy a razie potrzeby działamy i informujemy Cię. Dodatkowo możemy monitorować stan fizyczny Twoich urządzeń lub nawet aplikacji i informować Cię o konieczności np. wymiany dysku ponieważ ten monitorowany zgłasza, że się niedługo zepsuje.
Jakie funkcje bezpieczeństwa poczty elektronicznej zapewnia Business Email Protection?
Group-IB Business Email Protection zapewnia:
– Zapobieganie phishingowi
– Wykrywanie zagrożeń dla poczty biznesowej
– Skanowanie załączników AV
– Detonacja złośliwego oprogramowania
– Filtrowanie spamu
– Filtrowanie treści oparte na polityce
– Zbieranie historii e-maili i meta logów
– Ochrona po dostawie
Jakie rodzaje danych z wywiadu o zagrożeniach są włączane do systemu Attack Surface Management Group-IB?
Group-IB od ponad dziesięciu lat skanuje ciemną stronę internetową i zbiera informacje o zagrożeniach. Obejmuje to zrzuty danych uwierzytelniających, dyskusje na forach w ciemnej sieci, wdrażanie złośliwego oprogramowania, hosting paneli phishingowych, sprzedaż wstępnego dostępu do sieci korporacyjnych, ruch na serwerach C&C, aktywność botnetów i wiele innych. Kiedy wdrażasz Group-IB Attack Surface Management, Twoja organizacja i wszystkie jej potwierdzone aktywa są sprawdzane z tymi bazami danych, aby zobaczyć, czy są jakieś dopasowania. Jeśli są one zgodne, dane są dodawane do tego zasobu w pulpicie nawigacyjnym Group-IB Attack Surface Management.
Jakie są opcje wdrożenia Business Email Protection?
Aby zapewnić elastyczność, Business Email Protection można wdrożyć w chmurze lub w siedzibie firmy, aby zapewnić bezpieczeństwo usług e-mail hostowanych w dowolnej lokalizacji.
Jakie techniki anty-ewakuacyjne wykorzystuje Group-IB Business Email Protection?
Group-IB Business Email Protection używa:
– Monitorowanie WinAPI
– Restart z odpowiednimi parametrami czasowymi dla wrażliwego na czas złośliwego oprogramowania
– Użycie i emulacja realistycznych parametrów systemowych środowiska analizy
– Wykorzystanie aktualnych wersji oprogramowania biurowego w środowisku analizy
– Retrospektywna analiza powiązań
– Identyfikacja dodatkowych warunków (restart systemu operacyjnego, makra do zamykania/otwierania aplikacji, uruchamianie według czasu itp.)
– System emulacji aktywności użytkownika
– Wyodrębnianie i uruchamianie dodatkowych poleceń z rejestru
– Wybór haseł do archiwów w postaci tekstu literowego, sąsiadujących plików, z wykorzystaniem słowników
– Dodatkowe możliwości dostępne w ramach Malware Detonation Platform
FAQ
Co to jest Group-IB XDR?
Cybergen XDR firmy to konwergentne rozwiązanie zapewniające organizacjom dostęp do możliwości polowania na zagrożenia i remediacji poprzez jeden interfejs. Rozwiązanie składa się z kilku najlepszych w swojej klasie technologii:
EDR (Endpoint detection and response) – wykrywa złośliwą aktywność w punktach końcowych poprzez wykorzystanie danych z wywiadu o zagrożeniach, sygnatur i analizy behawioralnej. Organizacje mogą wykorzystać EDR do reagowania na zagrożenia: blokowania plików przed uruchomieniem, zabijania procesów i izolowania hostów od sieci.
NTA (analiza ruchu sieciowego) – Odkryj anomalie i ukryte kanały komunikacyjne oraz przypisz zagrożenia za pomocą NTA. Złośliwa aktywność w ruchu sieciowym jest wykrywana poprzez analizę plików i linków wyodrębnionych z ruchu sieciowego, magazynu plików i serwerów proxy. Dane te są wykorzystywane do przypisywania zagrożeń.
BEP – Business Email Protection zabezpiecza korporacyjną pocztę elektroniczną hostowaną w chmurze lub on-premises. Rozwiązanie detonuje i analizuje podejrzane załączniki i linki w odizolowanych środowiskach, identyfikuje ataki i blokuje je, zanim dotrą do celu.
MDP – platforma detonacji złośliwego oprogramowania uruchamia podejrzane pliki i łącza w środowiskach piaskownicowych w celu przeprowadzenia rozległej analizy, wykrycia zagrożeń, ekstrakcji IoC i przypisania ataku.
Czy Business Email Protection można zintegrować G-Suite i Office 365?
Aby jeszcze bardziej usprawnić wykrywanie i reagowanie, Group-IB wspiera integrację na poziomie API pomiędzy Business Email Protection a popularnymi narzędziami produktywności, takimi jak G-Suite i Office 365.
Czy Cybergen XDR może być zintegrowany z moim istniejącym ekosystemem bezpieczeństwa (np. SIEM)?
Tak, Group-IB zapewnia szereg integracji out-of-the-box z popularnymi rozwiązaniami takimi jak SIEM. Dostępne są również elastyczne interfejsy API, które umożliwiają integrację Cybergen XDR z dowolnymi narzędziami innych firm, w tym z tworzonymi na zamówienie pulpitami.
Czy Group-IB XDR może być użyty do proaktywnego polowania na zagrożenia?
Tak, rozwiązanie XDR zapewnia pełną widoczność operacji bezpieczeństwa, w tym punktów końcowych, serwerów, poczty elektronicznej i ruchu sieciowego. Ujednolicony pulpit nawigacyjny zestawia telemetrię z każdego ze źródeł, koreluje alerty i identyfikuje zagrożenia za pomocą silnika uczenia maszynowego. Zespoły bezpieczeństwa mogą łatwo testować hipotezy i wyszukiwać zagrożenia za pomocą intuicyjnych zapytań.
Organizacje, które nie dysponują odpowiednią wiedzą lub personelem, aby przeprowadzać łowy na zagrożenia, mogą skorzystać z oferty usług zarządzanych firmy Group-IB. Zapewnieni przez wysoko wyszkolonych analityków mogą pomóc w przypisaniu zagrożeń, zrozumieniu TTP specyficznych dla danej firmy i opracowaniu zaleceń dotyczących poprawy stanu bezpieczeństwa.
Czy Group-IB XDR może być zintegrowany z moim istniejącym ekosystemem bezpieczeństwa (np. SIEM)?
Tak, Group-IB zapewnia szereg integracji out-of-the-box z popularnymi rozwiązaniami takimi jak SIEM. Dostępne są również elastyczne interfejsy API, które umożliwiają integrację Cybergen XDR z dowolnymi narzędziami innych firm, w tym z tworzonymi na zamówienie pulpitami.
Czym Business Email Protection różni się od innych rozwiązań zabezpieczających pocztę elektroniczną w chmurze?
Większość rozwiązań do ochrony poczty elektronicznej w chmurze wykorzystuje piaskownice z ogólnymi obrazami, trasami ruchu, nazwami użytkowników i innymi parametrami, które są łatwe do obejścia przez napastników. Business Email Protection wykorzystuje wysoce konfigurowalne maszyny wirtualne, które wydają się atakującym prawdziwym środowiskiem. Rozwiązanie Group-IB Business Email Protection analizuje również obiekty, które mogą zmienić swój stan w czasie, blokując je, jeśli staną się złośliwe.
Czym Group-IB Attack Surface Management różni się od skanera podatności?
Attack Surface Management Group-IB koncentruje się na identyfikacji pełnej powierzchni ataku, w tym zasobów zewnętrznych, o których nie wiesz, takich jak shadow IT, zapomniana infrastruktura i źle skonfigurowane bazy danych, które są przypadkowo wystawione na widok publiczny. Różni się to od skanerów podatności, które muszą mieć określony zakres IP znanych aktywów, aby działać.Rozwiązanie Group-IB Business Email Protection analizuje również obiekty, które mogą zmienić swój stan w czasie, blokując je, jeśli staną się złośliwe.
Jak często aktualizowany jest Group-IB XDR?
Group-IB stale aktualizuje inteligencję wykorzystywaną przez XDR w celu identyfikacji zagrożeń w czasie rzeczywistym. Silniki uczenia maszynowego i analitycy pracują nad aktualizacją i udoskonaleniem TTP, IoC, profili złośliwego oprogramowania i innych z najnowszymi spostrzeżeniami w miarę ich odkrywania.
Jak długo trwa konfiguracja Business Email Protection?
Business Email Protection można skonfigurować w ciągu kilku minut; lokator w chmurze jest tworzony automatycznie po zatwierdzeniu wniosku o przeprowadzenie próby. Integracja jest bardzo prosta i wdrożona jako rozwiązanie bramy. Po prostu skonfiguruj swoją nazwę domeny i Business Email Protection zacznie zapewniać ochronę w momencie, gdy rekordy DNS zostaną zaktualizowane.
Jak długo trwa wdrożenie? Czy muszę stworzyć nową infrastrukturę?
Po uzyskaniu dostępu do Group-IB Attack Surface Management wystarczy kilka kliknięć, aby zmapować całą powierzchnię ataku firmy. Nie są wymagane żadne agenty, integracje ani większe konfiguracje.
Jak działa Attack Surface Management firmy Group-IB? W jaki sposób jest w stanie zmapować całą moją infrastrukturę?
Group-IB skanuje cały Internet w celu identyfikacji i indeksowania infrastruktury korporacyjnej. Relacje między tymi aktywami są następnie mapowane poprzez cyfrowe połączenia, takie jak subdomeny, certyfikaty SSL, rekordy DNS i inne techniki wykrywania. Kiedy wprowadzisz domenę swojej organizacji, system może natychmiast zidentyfikować Twoją infrastrukturę. Jest ona następnie wzbogacona o techniki wykrywania w czasie rzeczywistym oraz walidację zabezpieczeń w celu zidentyfikowania problemów i podniesienia alarmów w celu ich usunięcia.
Jak mogę rozpocząć proof of concept dla Group-IB XDR?
Aby rozpocząć POC, wystarczy poprosić o demo, wypełniając poniższy formularz. W większości przypadków wystarczy podać kilka urządzeń końcowych w Państwa środowisku IT, aby sprecyzować zakres i POC jest gotowy do rozpoczęcia.
Jak mogę rozpocząć Proof Of Concept dla Group-IB EDR?
Aby rozpocząć POC, wystarczy poprosić o demo, wypełniając poniższy formularz. W większości przypadków wystarczy podać kilka urządzeń końcowych w Państwa środowisku IT, aby sprecyzować zakres i POC jest gotowy do rozpoczęcia.
Jak uruchamiamy ochronę Twojej firmy?
W prostych sytuacjach, gdy nie masz własnej serwerowni, zabezpieczamy Twoje skrzynki pocztowe (bez ingerencji na urządzeniach) potem w zależności od potrzeb instalujemy sensory na Twoich urządzeniach (EDR), które nadzorują ich pracę i informują nas o wszelkich anomaliach. W razie potrzeby podejmują działania (np. odcinają urządzenie od sieci).
Monitorujemy wszystkie sygnały i w przypadku gdy potrzebna jest Twoja decyzja informujemy Cię.
W bardziej złożonych organizacjach (z własnym lub chmurowym serwerem plików, może nawet aplikacji sieciowych) sensor EDR jest instalowany również na nim. Jeśli macie sieć komputerową w biurze, w której oprócz osobistych urządzeń są urządzenia wspólne z ważnymi zasobami i istnieje ryzyko ich zaszyfrowania (ransomware) lub dowolne inne, instalujemy sensor sieciowy (NTA – XDR), który monitoruje ruch w całej Waszej sieci lokalnej. Wszystkie podejrzane elementy (linki w poczcie, załączniki), są sprawdzanie i detonowane na specjalnej platformie. O wynikach jesteśmy informowani i jeśli chcesz to Ty również.
Podsumowując jest to bardzo podobne do monitoringu biura czy budynku. Instalujemy niezbędne czujniki, czuwamy a razie potrzeby działamy i informujemy Cię. Dodatkowo możemy monitorować stan fizyczny Twoich urządzeń lub nawet aplikacji i informować Cię o konieczności np. wymiany dysku ponieważ ten monitorowany zgłasza, że się niedługo zepsuje.
Podsumowując jest to bardzo podobne do monitoringu biura czy budynku. Instalujemy niezbędne czujniki, czuwamy a razie potrzeby działamy i informujemy Cię. Dodatkowo możemy monitorować stan fizyczny Twoich urządzeń lub nawet aplikacji i informować Cię o konieczności np. wymiany dysku ponieważ ten monitorowany zgłasza, że się niedługo zepsuje.
Jakie funkcje bezpieczeństwa poczty elektronicznej zapewnia Business Email Protection?
Group-IB Business Email Protection zapewnia:
– Zapobieganie phishingowi
– Wykrywanie zagrożeń dla poczty biznesowej
– Skanowanie załączników AV
– Detonacja złośliwego oprogramowania
– Filtrowanie spamu
– Filtrowanie treści oparte na polityce
– Zbieranie historii e-maili i meta logów
– Ochrona po dostawie
Jakie rodzaje danych z wywiadu o zagrożeniach są włączane do systemu Attack Surface Management Group-IB?
Group-IB od ponad dziesięciu lat skanuje ciemną stronę internetową i zbiera informacje o zagrożeniach. Obejmuje to zrzuty danych uwierzytelniających, dyskusje na forach w ciemnej sieci, wdrażanie złośliwego oprogramowania, hosting paneli phishingowych, sprzedaż wstępnego dostępu do sieci korporacyjnych, ruch na serwerach C&C, aktywność botnetów i wiele innych. Kiedy wdrażasz Group-IB Attack Surface Management, Twoja organizacja i wszystkie jej potwierdzone aktywa są sprawdzane z tymi bazami danych, aby zobaczyć, czy są jakieś dopasowania. Jeśli są one zgodne, dane są dodawane do tego zasobu w pulpicie nawigacyjnym Group-IB Attack Surface Management.
Jakie są opcje wdrożenia Business Email Protection?
Aby zapewnić elastyczność, Business Email Protection można wdrożyć w chmurze lub w siedzibie firmy, aby zapewnić bezpieczeństwo usług e-mail hostowanych w dowolnej lokalizacji.
Jakie techniki anty-ewakuacyjne wykorzystuje Group-IB Business Email Protection?
Group-IB Business Email Protection używa:
– Monitorowanie WinAPI
– Restart z odpowiednimi parametrami czasowymi dla wrażliwego na czas złośliwego oprogramowania
– Użycie i emulacja realistycznych parametrów systemowych środowiska analizy
– Wykorzystanie aktualnych wersji oprogramowania biurowego w środowisku analizy
– Retrospektywna analiza powiązań
– Identyfikacja dodatkowych warunków (restart systemu operacyjnego, makra do zamykania/otwierania aplikacji, uruchamianie według czasu itp.)
– System emulacji aktywności użytkownika
– Wyodrębnianie i uruchamianie dodatkowych poleceń z rejestru
– Wybór haseł do archiwów w postaci tekstu literowego, sąsiadujących plików, z wykorzystaniem słowników
– Dodatkowe możliwości dostępne w ramach Malware Detonation Platform