AI Engine

AI Engine liefert Echtzeit-Transparenz bei Risiken, Gefahren und kritischen Betriebsproblemen

AI Engine von LogRhythm ist eine vollständig integrierte Komponente der LogRhythm NextGen-Plattform, die automatisierte, fortlaufende Analysen durchführt und alle innerhalb der Umgebung beobachteten Aktivitäten korreliert. Dank der einzigartigen Flexibilität und des umfassenden Ansatzes ermöglicht sie Echtzeiteinblicke in Risiken, Bedrohungen und kritische Betriebsfehler, die ansonsten praktisch nicht nachweisbar wären. AI Engine ist eine Integration, die hält, was sie verspricht.

Datenblatt zu AI Engine

Mit über 900 vorkonfigurierten, einsatzbereiten Korrelationsregeln und einer Wizard-basierten Drag-and-Drop-Oberfläche für die Erstellung und Individualisierung komplexer Regeln, eröffnet die AI Engine Unternehmen die Möglichkeit, in folgenden Fällen zu prognostizieren, aufzudecken und schnell zu reagieren:

  • Unbefugtes Eindringen
  • Insider-Bedrohungen
  • Betrug
  • Verhaltensanomalien bei Benutzern, Netzwerken und Endpunkten
  • Compliance-Verstöße
  • Unterbrechung von IT-Services
  • Und viele andere kritische strafbare Handlungen

Umfassende fortschrittliche Korrelation

Im Unterschied zu älteren SIEM-Lösungen unterstützt die AI Engine ihre Integration mit Protokoll- und Plattformverwaltungsfunktionen innerhalb der LogRhythm-Plattform, um eine Korrelation aller Daten und nicht nur einer vorgefilterten Teilmenge von Sicherheitsereignissen zu gewährleisten. Die nahtlose Integration ermöglicht zudem den sofortigen Zugriff auf direkt mit einem Ereignis verbundene forensische Daten.

Die Regeln der AI Engine werden aus über 70 verschiedenen Metadata-Feldern bezogen, die hoch relevante Daten für die Analyse und Korrelation bieten. Diese Metadaten beinhalten einen dynamischen Risk Based Prioritization (RBP)-Wert, der allen Maschinendaten zugeordnet wird, sodass die AI Engine Trends ausarbeiten und statistische Anomalien basierend auf dem der spezifischen Aktivität im Netzwerk zugeordneten Risikograd aufdecken kann. Unabhängig davon, ob die Entdeckung nun durch vorgefertigte Regeln oder benutzerdefinierte/geänderte Regeln erfolgt, identifiziert die AI Engine mit unglaublicher Präzision strafbare Handlungen, sodass Sicherheits-, Compliance- und betriebliche Anwendungsfälle unterstützt werden. Die AI Engine kann auch verwendet werden, um mit generalisierten Korrelationsregeln ein breites Netz für eine bessere Transparenz zu spannen, mit dem Änderungen im Ereignisverhalten aufgespürt werden.

Mehrdimensionale Analyse

LogRhythm hat unternehmensweite fortschrittliche Korrelation und Mustererkennung mit automatisierter Verhaltens- und statistischer Analyse kombiniert, um die erste mehrdimensionale Analyse der Branche anzubieten. Durch die Kombination moderner statistischer und heuristischer Analysen mit verhaltensbezogenem Whitelisting bietet LogRhythm Unternehmen die Möglichkeit, den Lernprozess über „normales“ Verhalten mit einer beliebigen Kombination von mit Benutzern, Hosts, Anwendungen oder Geräten in Verbindung stehenden Merkmalen, zu automatisieren. Durch Integration dieser Fähigkeiten in fortschrittliche Korrelation und Mustererkennung werden drei signifikante Probleme von Benutzer der ersten Generation von SIEMs beseitigt: Die Unfähigkeit, genau zu definieren, was man unter einer „normalen“ Aktivität versteht, eine Flut von falschen positiven Werten, die das Verständnis bedeutungsvoller Ereignisse verringern und Unsicherheit aufgrund von falschen negativen Werten.

AI Engine liefert Nutzern:

  • Fortschrittliche Korrelation gegen alle Protokoll- und Maschinendaten
  • Generalisierte und gezielte Bedrohungsverwaltung und Compliance-Automatisierungs-Suites
  • Automatische Verhaltens- und statistische Grundlagenstudie
  • Sofortiger Zugriff auf zugrundeliegende forensische Daten
  • Umfassende, einsatzbereite, fortschrittliche Analyseregeln
  • Unübertroffene Benutzerfreundlichkeit

AI Engine in Aktion

Die zahlreichen vordefinierten Korrelationsregeln der AI Engine sind so konfiguriert, dass sie direkt eingesetzt und als Vorlagen für eine einfache Individualisierung verwendet werden können. Alle Regeln der AI Engine können schnell über die hoch intuitive Oberfläche geändert werden, um den individuellen Anforderungen jedes Unternehmens gerecht zu werden.

Sicherheit

Ein einziges Ereignis reicht nicht immer aus, um auf eine Verletzung oder einen Sicherheitsvorfall hinzuweisen. Die AI Engine erstellt automatisch eine Verhaltens-Whitelist mit „normalen“ Aktivitäten, um dabei zu helfen, verdächtige Verhaltensmuster zu erkennen und automatisch potenzielle Bedrohungen und Verletzungen zu identifizieren und diese zu melden. Malware kann beispielsweise schnell in ein Unternehmen eindringen und sich dort verbreiten, wodurch Daten schneller ausgespäht und die Sicherheit schneller geschwächt wird, als Administratoren reagieren können. In den meisten Fällen ist das Ausmaß des Schadens unbekannt.

Beispiele:

  • Schadsoftware wird auf einem Host entdeckt, gefolgt von zahlreichen ausgehenden Angriffen von diesem infizierten Host
  • Auf die verdächtige Kommunikation von einer externen IP-Adresse folgt ein Datentransfer zu der gleichen IP-Adresse
  • Ein Nutzer meldet sich von einem Ort aus an und meldet sich kurz danach aus einer anderen Stadt oder aus einem anderen Land an
  • Der Firewall-Protokollen zugewiesene RBP-Wert erhöht sich innerhalb einer Stunde kontinuierlich von 50 auf 90

Compliance

Die AI Engine gewährleistet eine dauerhafte Compliance, indem sie Ereignisse generiert, wenn bestimmte Datenschutzverstöße auftreten. Hierzu gehören der Schutz von Karteninhaberinformationen oder geschützten Informationen über den Gesundheitszustand vor unerlaubtem Zugriff und die aktive Überwachung des Verhaltens berechtigter Nutzer.

Beispiele:

  • Fünf fehlgeschlagene Authentifizierungsversuche, gefolgt von einer erfolgreichen Anmeldung bei einer Datenbank mit elektronisch geschützten Informationen über den Gesundheitszustand, gefolgt von einem großen Datentransfer zum Computer des Nutzers, und dies alles in 30 Minuten
  • Es erfolgt ein Zugriff auf alle Dateien, die Kreditkarteninformationen enthalten, gefolgt von einem Versuch, die Daten vom gleichen Host auf ein USB-Laufwerk zu übertragen, und dies alles in 10 Minuten.
  • Mehrere neue Konten werden erstellt, erweiterte Nutzerrechte gewährt und dann erfolgt ein Zugriff auf kritische Daten, und dies alles innerhalb kurzer Zeit

Optimierung

Die erweiterte Korrelation ermöglicht betriebliche Einblicke und unterstützt die Sicherstellung des IT-Services. Geringe Veränderungen bei bestimmten Aktivitäten oder einer einzelnen Sequenz typischer allgemeiner betrieblicher Ereignisse können auf kritische Betriebsprobleme hinweisen.

Beispiele:

  • Ein Sicherungsprozess wird gestartet, es wird jedoch kein Protokoll erstellt, das angibt, dass die Sicherung abgeschlossen ist
  • Ein kritischer Vorgang wird angehalten und wird erst nach einer gewissen Zeit wieder gestartet
  • Eine große Servergruppe fährt herunter, anschließend startet eine kleine Servergruppe Back-ups
  • Hohe I/O-Werte auf einem kritischen Server, die normalerweise während eines Sicherungsprozesses auftreten, werden während der normalen Geschäftszeiten beobachtet

Einsatzmöglichkeiten der AI Engine

Als vollständig integrierte Komponente jeder LogRhythm-Bereitstellung kann die AI Engine als dedizierte hochleistungsfähige Anwendung eingesetzt, als Software in der spezifischen Ausrüstung des Kunden installiert oder für mehrere Virtualisierungsplattformen, einschließlich VMware ESX, Microsoft Hyper-V und Citrix XenServer, verwendet werden. Hochleistungsfähige Anwendungen können Zehntausende Protokolle pro Sekunde und Milliarden Protokolle pro Tag erstellen. Die AI Engine verfügt über eine skalierbare Architektur, die eine vereinfachte, schrittweise Erweiterung der Installation erlaubt, um dem Arbeitsvolumen jedes Unternehmens gerecht zu werden. Alle Instanzen der AI Engine werden zentral über die Client-Konsole von LogRhythm verwaltet.