SmartResponse

Störungsbehebung in Sekunden, nicht erst in Tagen

Wenn ein Unternehmen eine Gefährdung in seinem Netzwerk entdeckt, kann eine schnelle Störungsbehebung entscheidend dafür sein, ob die Bedrohung eingedämmt werden kann oder sich eine Datenschutzverletzung daraus entwickelt. Unternehmen, die sich ausschließlich auf manuelle Verfahren verlassen, haben Schwierigkeiten, die Reaktionszeiten zu verringern, und sind einem höheren Risiko ausgesetzt. Firmen, die ihre Reaktionszeiten erhöhen möchten, sollten die allgemeine Untersuchung und die Behebungsmaßnahmen automatisieren.

Datenblatt zu SmartResponse herunterladen

Leider ist eine Automatisierung für die meisten Unternehmen undenkbar. Die Entwicklung einer eigenen Lösung ist in der Regel unerschwinglich teuer, und vorhandene kommerzielle Optionen sind entweder unflexibel oder erfordern aufwändige und kostenintensive Anpassungen.

Ein effektives Automatisierungswerkzeug muss folgende Anforderungen erfüllen:

  • Effiziente Workflows und flexibler Genehmigungsprozess
  • Unkomplizierte Integration in die IT-Umgebung
  • Unterstützung für mehrere Betriebssysteme
  • Möglichkeit des Transfers innerhalb getrennter Netzwerke
  • Integrierte Überprüfung
  • Minimale Kosten und Komplexität

Eine automatisierte Problembehebung, die funktioniert

SmartResponse™ ermöglicht automatisierte Störungsbehebung auf einzigartige Weise. Die Software ermöglicht einen halbautomatischen, genehmigungsbasierten Betrieb, sodass Benutzer die Situation vor dem Ergreifen von Gegenmaßnahmen überprüfen können.

LogRhythm reduziert die für die Durchführung der allgemeinen Untersuchung und Abwehrmaßnahmen benötigte Zeit und verhindert auf diese Weise die rasante Verbreitung von Gefährdungen mit hohem Risikopotenzial. Beispiele hierfür sind die Aktivierung einer Verwundbarkeitsanalyse bei einem verdächtigen Endpunkt oder drastische Maßnahmen wie die Quarantäne eines gefährdeten Endpunkts oder die Deaktivierung eines verdächtigen Benutzerkontos.

Vorgefertigte und kundenspezifische Plug-ins

LogRhythm Labs bietet Kunden eine umfangreiche Bibliothek an vorgefertigten SmartResponse-Maßnahmen. LogRhythm hilft Benutzern zudem, benutzerdefinierte Plug-Ins mit dem Programm bzw. der Scripting-Technologie ihrer Wahl, wie z. B. Bash, Java, .NET, Perl, PowerShell oder Python, zu erstellen. Benutzer können eigene Plug-Ins mit einem integrierten Tool testen, das die Ausgabe dokumentiert und Fehler identifiziert. Mit den vorgefertigten und benutzerdefinierten SmartResponse-Maßnahmen erhält der Kunde die Kontrolle.

Alarmintegration

Das SmartResponse Automation Framework ist eng in die LogRhythm NextGen SIEM-Plattform integriert und bietet nahtlose Kontinuität im gesamten Workflow der durchgehenden Erkennung von Bedrohungen und der Reaktion darauf.

Benutzer legen SmartResponse-Maßnahmen fest, die durch bestimmte Alarme ausgelöst werden. Diese Alarme können Daten an die SmartResponse-Maßnahme weiterleiten und ermöglichen somit eine dynamische, präzise Ausführung. Von einem einzigen Alarm können mehrere SmartResponse-Maßnahmen ausgelöst werden, sodass zur gleichen Zeit Untersuchungs- und Abwehrmaßnahmen durchgeführt werden können.

Hochmoderne Genehmigungsverfahren

Benutzer möchten möglicherweise, dass SmartResponse erst aktiv wird, nachdem die Maßnahmen durch einen Vorfallanalysten oder eine formelle Genehmigungskette überprüft wurden. Mit SmartResponse können Nutzer hochmoderne Genehmigungsszenarien als Vorbedingung für die Ausführung der Maßnahmen implementieren. LogRhythm unterstützt zudem komplexe Genehmigungsketten, einschließlich Mehrparteien-Genehmigungen durch verschiedene Gruppen, wenn unternehmensübergreifende Genehmigungen erforderlich sind.

Flexible Ausführungsmöglichkeiten

Das LogRhythm SmartResponse Automation Framework unterstützt mehrere Optionen für die Ausführung von Maßnahmen:

  • Ausführung der gesamten Kette: Konfigurieren Sie SmartResponse so, dass alle Maßnahmen ohne Genehmigungen vollautomatisiert durchgeführt werden. Mit dieser Fähigkeit wird die Eindämmung von Gefährdungen beschleunigt, und Bedrohungen mit hohem Risikopotenzial werden in Sekunden neutralisiert.
  • Ausführung mit einem Klick: Führen Sie eine Maßnahme manuell durch. Das LogRhythm SmartResponse Automation Framework erlaubt eine unmittelbare Ausführung von Maßnahmen mit nur einem Klick auf die LogRhythm-Nutzeroberfläche.
  • Remote-Ausführung von System Monitor: Leiten Sie Maßnahmen über unterschiedliche Netzwerke an Remote-Standorten ein, auf die nicht direkt per IP-Routing zugegriffen werden kann. SmartResponse macht dies durch die Weiterleitung von Behebungsmaßnahmen an System Monitor-Agenten möglich, die dann vor Ort ausgeführt werden können. Die Remote-Ausführung von SmartResponse ermöglicht so eine globale, verteilte Störungsbehebung.

Vollständige Prüfung und Erfüllung der Rechenschaftspflicht

Für eine Störungsbehebung werden häufig viele verschiedene Personen, Teams und Technologien benötigt. Mit SmartResponse verfolgt und protokolliert LogRhythm alle Aktivitäten, die zur Eindämmung und Abwehr der Gefährdung durchgeführt werden. Auf diese Weise entfällt der Arbeitsaufwand der manuellen Aufzeichnung und Konsolidierung von Informationen zur Störungsbehebung, einschließlich Genehmigungen und Mitteilungen. Die Aufzeichnung von Prüfpfaden hilft einem Unternehmen, den Prozess der Störungsbehebung weiterzuentwickeln, mit dem Management zu kommunizieren und alle Compliance-Anforderungen einzuhalten.

Maximale Nutzung vorhandener Investitionen

LogRhythm SmartResponse Automation Framework kann leicht in derzeit aktuelle und zukünftige Sicherheitstechnologien integriert werden. Aufgrund der umfassenden Herstellerunterstützung können Benutzer unabhängig von den Sicherheitsgeräten, der IT-Infrastruktur, der Vernetzung, dem System und den Anwendungen, die sie verwenden, im gesamten Netzwerk reagieren.

Anwendungsfälle

Die für die Störungsbehebung zuständigen Teams werden mit vorgefertigten und individualisierbaren Plug-Ins ausgerüstet, wodurch die Reaktionszeit von Tagen auf Minuten verkürzt werden kann. Beispiele für SmartResponse-Anwendungsfälle:

  • Endpunkt-Quarantäne: Identifizieren Sie den Netzwerkanschluss, an dem sich ein verdächtiges Gerät befindet, und deaktivieren Sie den Anschluss/das Gerät.
  • Benutzer sperren: Sperren Sie unabhängig von dem verwendeten Gerät den Zugriff auf ein Benutzerkonto, wenn eine Kontogefährdung vorliegt.
  • Maschinendaten sammeln: Im Falle von Malware-Infektionen können forensische Daten vom verdächtigen Endpunkt gesammelt werden.
  • Netzwerkzugriff sperren: Im Falle von Daten-Exfiltration kann das für die Störungsbehebung zuständige Team durch die Aktualisierung der Zugriffskontrollliste unternehmenseigener Firewalls die Verbindung aufheben.
  • Vorgänge beenden: Wenn ein Team unbekannte oder auf der schwarzen Liste aufgeführte Vorgänge auf wichtigen Geräten entdeckt, kann SmartResponse das laufende Programm ausschalten.