Nieuw: Exabeam Alert Triage

Exabeam biedt oplossingen voor security intelligence en beheer om organisaties te helpen hun meest waardevolle informatie te beschermen. Het Exabeam Security Intelligence Platform combineert op unieke wijze onbeperkte gegevensverzameling, machine learning voor geavanceerde analyses en geautomatiseerde incident respons in een geïntegreerde set van producten.

Exabeam heet Alert Triage aangekondigd. Deze nieuwe oplossing helpt beveiligingsteams om inzicht te krijgen in alle beveiligingswaarschuwingen van derden die binnen de organisatie worden gegenereerd. Hierdoor kunnen beveiligingsteams de kansen optimaliseren door intelligentie toe te voegen aan hun bestaande beveiligingstools, waaronder SIEM’s, XDR’s, cloud-datameren en honderden andere zakelijke en beveiligingsproducten.

Analisten ontvangen duizenden beveiligingswaarschuwingen per dag, verspreid over verschillende tools. Omdat ze het volume niet kunnen bijhouden, moeten ze een aanzienlijk aantal ervan negeren, waardoor hun organisaties kwetsbaarder zijn voor bedreigingen. Exabeam Alert Triage is een cloudapplicatie die beveiligingswaarschuwingen categoriseert, verzamelt en verrijkt, zodat analisten efficiënt beveiligingswaarschuwingen kunnen negeren of escaleren vanaf één scherm. Met Alert Triage krijgen analisten inzicht in alle waarschuwingen die beveiligingstools hebben geactiveerd via een gecentraliseerde weergave, waardoor de kans kleiner wordt dat ze een beveiligingswaarschuwing missen.

Alert Triage is opgenomen als een nieuwe geïntegreerde applicatie voor alle cloud-klanten die Exabeam Advanced Analytics en Exabeam Case Manager gebruiken. Dit verrijkt waarschuwingen met meer context en presenteert zich in één scherm, zodat analisten sneller kunnen beslissen welke waarschuwingen moeten worden geëscaleerd of afgewezen. Het zorgt er ook voor dat analisten de kritieke waarschuwingen niet missen die moeten worden geëscaleerd om inbreuken te voorkomen.

Hoe werkt het?

Alert Triage categoriseert, verzamelt en verrijkt beveiligingswaarschuwingen, zodat analisten ze kunnen negeren of escaleren met nieuwe niveaus van efficiëntie.

Security alerts zijn onderverdeeld in kanalen. Kanalen kunnen worden gegroepeerd op leverancier, alert naam, alert type en de ernst. Alle waarschuwingen zijn automatisch verrijkt met contextuele gegevens, waaronder host, IP, ernst van alert, gerelateerde gedragsafwijkingen en algemene risicoscores van geassocieerde gebruikers en entiteiten.

Vanuit een waarschuwing in Alert Triage kunnen beveiligingsanalisten eenvoudig navigeren naar een gekoppelde gebruiker of entiteitstijdlijn die die waarschuwing bevat. De tijdlijnen beantwoorden vragen die een analist heeft zoals wat er is gebeurd vóór en nadat de waarschuwing is geactiveerd. De tijdlijnen bieden ook context en antwoorden op vragen als: Wat is de aard van de waarschuwing? Wie is de gebruiker / asset die aan de waarschuwing is gekoppeld? Is dit een daadwerkelijke aanval? Is de aanval geslaagd?

Slimme tijdlijnen bevatten alle informatie die een analist nodig heeft om snel onderzoek uit te voeren, inclusief: normaal en abnormaal gedrag, evenals de omringende context, zoals wat er voor en na een waarschuwing is gebeurd, en of deze waarschuwing is gekoppeld aan een MITRE-tactiek, techniek of procedure.

De Alert Triage-interface geeft analisten de mogelijkheid om de waarschuwing te negeren of te escaleren. Wanneer een waarschuwing wordt geëscaleerd, wordt er automatisch een incident aangemaakt in Exabeam Case Manager en wordt de waarschuwing overgedragen aan het incidentresponsteam.

Voordelen van Alert Triage zijn onder meer:

  • Zichtbaarheid: Door het triageproces van waarschuwingen te centraliseren en de triage-inspanningen van een analist te organiseren, kunnen analisten waarschuwingen sneller beoordelen. Inzicht in alle waarschuwingen krijgen die door beveiligingstools in een organisatie zijn geactiveerd, verkleint de kans dat een waarschuwing wordt gemist of over het hoofd wordt gezien.
  • Focus: Door de mogelijkheid om waarschuwingen te categoriseren, kunnen managers kanalen maken en toewijzen aan teamleden. Een kanaal helpt de aandacht van een analist te richten op een specifiek type waarschuwing en stelt hem in staat om vakkennis te ontwikkelen.
  • Productiviteit: Een analist kan waarschuwingen beter indelen, wat hun productiviteit verhoogt. Een hogere productiviteit betekent dat analisten een hoger percentage inkomende waarschuwingen kunnen bekijken en de kans verkleinen dat een waarschuwing niet wordt beoordeeld en tot een inbreuk leidt.

Als we kijken naar de nieuwste beveiligingsincidenten, zoals de SolarWinds- of Microsoft Exchange-aanvallen, is de kans groter dat de getroffen organisaties ten minste één beveiligingswaarschuwing hebben gegenereerd over de bedreigingen van een van hun externe tools van hun vendoren.
“Helaas is die waarschuwing waarschijnlijk verdronken in alle andere vals-positieve waarschuwingen en moesten deze worden weggegooid.  Exabeam helpt onze klanten tijd te besteden aan de waarschuwingen die er echt toe doen. ”

Voor meer informatie over Exabeam Alert Triage en/of een nieuw product om waarschuwingsvermoeidheid op te lossen en inbreken te voorkomen:

Introducing Exabeam Alert Triage

Nieuw product

Exclusive Hub Visibility Triad Webinar – 21 april
Krijg 100% zichtbaarheid in uw security met Network Detection & Response (NDR), Endpoint Detection and Response (EDR) en SIEM/User Behaviour & Analytics (SIEM/UEBA) in de Visibility Triad met Exabeam, ExtraHop en SentinelOne. Meer informatie en inschrijven…

Mocht u meer informatie willen kunt u contact opnemen via info@exclusive-networks.nl of bel naar +31 (0)499 462121