Kurzvorstellung
Nutzung von Bedrohungsdaten
Für die informationsgesteuerte Erkennung von und Reaktion auf Bedrohungen reicht es nicht
aus, die schädlichen IP-Adressen, die auf einer offenen Webseite veröffentlicht werden, einmal
pro Woche manuell in eine SIEM-Watchlist zu importieren. Vielmehr müssen Bedrohungsdaten in
Echtzeit aufgenommen und alle Facetten eines Angriffs, einschließlich Methoden und weltweiten
Kampagnen, korreliert werden, damit Unternehmen auch den heimlichsten und wandelbarsten
Bedrohungen zuvorkommen können. Darüber hinaus müssen die Sicherheitskontrollzentren der
Unternehmen eine Möglichkeit finden, wie sie Bedrohungsdaten nutzen können, um ein vollständiges
Bild der Angriffe auf ihre Umgebungen zu erhalten. Zur Analyse, Korrelation und Priorisierung
der Bedrohungsdaten müssen sie enorme Datenmengen durchsuchen und herausfinden, welche
Informationen für ihre Branche, ihre Region sowie ihr Unternehmen relevant sind. Zudem müssen sie
sich einen Überblick über einmalige Angriffe der Gegenwart sowie Trends verschaffen können. Dazu
werden Daten zu vergangenen Sicherheitsereignissen herangezogen. Auch Forrester stuft die Nutzung
von Bedrohungsdaten als wichtig ein, da sich 75 Prozent der Angriffe innerhalb von 24 Stunden
von einem Opfer zum nächsten ausbreiten. Die Unternehmen müssen also die Lücke zwischen
„Austauschgeschwindigkeit und Angriffsgeschwindigkeit“ schließen.5
Nutzung der integrierten Intel Security-Architektur
Intel Security liefert eine einheitliche, kollaborative Plattform mit allen Komponenten für die
Nutzung von Bedrohungsdaten. Dazu zählen Feeds zu weltweiten Bedrohungsinformationen,
lokal erfasste Daten, der Echtzeitaustausch von Bedrohungsdaten in der IT-Infrastruktur, das
Sicherheitsinformations- und Ereignis-Management sowie die Bereitstellung automatischer,
adaptiver Schutzmaßnahmen.
Voraussetzungen
für die
Bedrohungs
analyse
McAfee® Threat
Intelligence Exchange
McAfee Advanced
Threat Defense
McAfee Enterprise
Security Manager
McAfee Global
Threat Intelligence
Erfassung von
Bedrohungsdaten
aus externen
Quellen
STIX, McAfee Global
Threat Intelligence
(McAfee GTI)-Import
sowie VirusTotal
McAfee GTI-Import
McAfee GTI- und
TAXII/STIX-Import
sowie HTTPBedrohungsdaten-Feeds
über die Lösung McAfee
Enterprise Security
Manager zur Verwaltung
von Cyber-Bedrohungen
McAfee GTI aggregiert
Bedrohungsdaten
von zahlreichen
Cyber Threat
Alliance-Partnern und
öffentlichen Quellen.
McAfee GTI erfasst
Bedrohungsdaten von
Millionen Sensoren auf
Intel Security-Produkten,
die bei Kunden auf
Endgeräten, Web-,
E-Mail- und Netzwerk
eindringungsschutzSystemen sowie
Firewall-Geräten im
Einsatz sind.
Erfassung interner
Bedrohungsdaten
Erfasst Daten von
McAfee VirusScan®,
McAfee Application
Control, McAfee Web
Gateway, McAfee
Advanced Threat
Defense, McAfee
Enterprise Security
Manager sowie von
Drittanbieter-Produkten,
die Informationen
über den McAfee Data
Exchange Layer senden
Verarbeitet
Beispieldateien,
die über McAfee
Threat Intelligence
Exchange oder das
Netzwerk eingehen,
um die Bedrohung
zu neutralisieren
Über STIX/TAXII
und den McAfee Data
Exchange Layer
Nutzung von Bedrohungsdaten
3
Kurzvorstellung
Schaffung lokaler
Bedrohungsdaten
Erfasst Vorfälle mit
verdächtigen Dateien
und erstellt eine
lokale Datenbank zur
Aufzeichnung des
Erstkontakts sowie
zur der Bewegung der
Bedrohungen
Analysiert und überführt
Malware, generiert
lokale Bedrohungsdaten
und verbreitet diese
über den McAfee Data
Exchange Layer oder als
API im STIX-Format
Erstellt anhand
korrelierter Ereignisse
Watchlists, Berichte
und Ansichten zu
Bedrohungsdaten
Verbreitung von
Bedrohungsdaten
über Sicherheits
kontrollen
Über den McAfee Data
Exchange Layer
Über den McAfee Data
Exchange Layer und die
Produkt-API
Über den McAfee Data
Exchange Layer, die
Produkt-API und SkriptIntegration
McAfee GTI ist in
zahlreiche Intel
Security-Produkte
integriert, z. B. McAfee
Web Gateway, McAfee
Enterprise Security
Manager und McAfeeEndgerätelösungen
Überblick über
die erfassten
Bedrohungsdaten
Über McAfee Threat
Intelligence ExchangeDashboards
Über Berichte
Über Dashboards,
Ansichten, Berichte aus
Inhaltspaketen und
kundenseitig generierte
Berichte
Über das McAfee
Threat Center und den
vierteljährlichen ThreatReport von McAfee
Tabelle 1. Die integrierte Bedrohungsdaten-Plattform von Intel Security
Was ist die Cyber Threat
Alliance?
Erfassung, Analyse und Verbreitung
McAfee Global Threat Intelligence
Am besten beginnen Sie den Aufbau Ihrer integrierten Bedrohungsdaten-Plattform mit McAfee
Global Threat Intelligence (McAfee GTI), einem umfassenden, in Echtzeit arbeitenden und Cloudbasierten Reputationsdienst. Er ist vollständig in Intel Security-Produkte integriert und unterstützt
die Produkte dabei, Cyber-Bedrohungen aus allen Vektoren – Dateien, Internet, E-Mails und
Netzwerk – schnell und besser abzuwehren. McAfee GTI liefert Reputationsbewertungen für Millionen
Dateien, URLs, Domänen und IP-Adressen. Die dafür verwendeten Bedrohungsdaten stammen
aus zahlreichen Quellen, z. B. von Millionen globalen und von McAfee Labs überwachten sowie
analysierten Sensoren, aus Bedrohungsdaten von Forschungs- und Cyber Threat Alliance-Partnern
sowie von Bedrohungsinformationen zu den Vektoren Internet, E-Mails und Netzwerke. Auf Grundlage
dieser hochwertigen, relevanten Bedrohungsdaten gibt McAfee GTI genaue Hinweise zu Risiken
und unterstützt damit nicht nur informierte Richtlinienentscheidungen, sondern ermöglicht auch
Kontrollen, mit denen Elemente bei Bedarf blockiert, bereinigt oder zugelassen werden können.
McAfee Enterprise Security Manager
McAfee Enterprise Security Manager (SIEM) bietet eine Schnittstelle für die Konsolidierung, Analyse
sowie Reaktion auf jede Art von Bedrohungsdaten und hebt damit die Erfassung sowie Analyse
von Bedrohungsdaten auf die nächste Stufe. Diese Rundumsicht gewährt volle Transparenz
und Situationserkennung, wodurch gezielte Angriffe schneller erkannt und bekämpft werden
können. Zudem wurde das Datenverwaltungssystem dieser Komponente speziell für die EchtzeitSpeicherung und -Integration großer Mengen an Kontextdaten entwickelt.
Nutzung von Bedrohungsdaten
Die Cyber Threat Alliance
ist eine Gruppe von
Sicherheitsexperten
aus unterschiedlichen
Unternehmen, deren Ziel
es ist, Bedrohungsdaten
auszutauschen und die
Abwehr von Bedrohungen
in Mitgliedsunternehmen
und bei deren Kunden
zu verbessern. Intel
Security ist eines der
Gründungsmitglieder,
die alle ihre Ressourcen
dafür einsetzen,
den effektivsten Weg
zum Austausch von
Bedrohungsdaten
zu bestimmen,
die Zusammenarbeit der
Mitglieder zu fördern und
gemeinsam Fortschritte
im Kampf gegen raffinierte
Cyber-Kriminelle zu erzielen.
4
Please complete the form to gain access to this content
