اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

یکپارچه‌ سازی Firepower با Cisco Threat Response

یکپارچه‌ سازی Firepower

به گزارش Cisco Cybersecurity Report 2019، تنها 51 درصد از هشدارهای امنیتی مورد بررسی قرار می‌گیرند که از میان آنها بیش از 43 درصد از هشدارها بی‌اهمیت محسوب می‌شوند. کارایی تیم‌های SOC به دلیل ازدیاد هشدارهای امنیتی فایروال و دیگر ابزارهای امنیتی که توسط اکوسیستم‌های امنیتی ایجاد می‌شوند، پایین می‌آید. علی رغم این چالش‌ها، تاثیر تهدیدات با کمبود منابع سازمان، نیروی انسانی و کمبود زمان مورد نیاز برای بررسی اعلان‌ها و اطلاعات حیاتی لازم همراه شده و مشکلات بیشتری به وجود می‌آورند. اقدام سریع برای مقابله با حملات سایبری حیاتی است و تیم‌های امنیت سایبری درحالی با این چالش‌ها روبرو می‌شوند که برای عادی‌سازی شرایط سازمان تحت فشار زیاد برای پاسخگویی و بازیابی سیستم هستند. به منظور کاهش خطر تهدیدات، باید راه بهتری برای رسیدن به کامل‌ترین دید برای مشاهده فعالیت‌های سازمان وجود داشته باشد. به همین دلیل Cisco Threat Response طراحی شده است تا پاسخگوی بسیاری از چالش‌های ایجاد شده برای تیم SOC باشد و بررسی تهدیدات را سریع‌تر، ساده‌تر و بهینه‌تر انجام دهد.

مزیتهای یکپارچه‌ سازی Firepower با Cisco Threat Response

شناسایی سریع، ردیابی و پاسخگویی به تهدیدات با استفاده از Cisco Threat Response و محصولات بهبودیافته و یکپارچه‌سازی‌شده جدید برای Firepower.

یکپارچهسازی پاسخگویی و واکنش سریع

بررسی مستمر تهدیدات در یک کنسول واحد از طریق ارسال رویدادهای Firepower برای تحلیل موضوع با استفاده از داده‌های رویداد امنیتی محصولات دیگر و دریافت نتیجه بررسی از طریق یک گراف رابطه‌ای ساده امکان‌پذیر می‌گردد.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


دسترسی به دادههای هوشمندسازی شده

کمک به شناسایی و درک بهتر رویدادهای مخرب و استفاده از آنها برای آنالیز و تحلیل رویدادها با استفاده از Incident Manager برای پاسخگویی و واکنش سریع. این قابلیت موجب می‌شود تا هشدارها براساس اهمیت پیگیری طبقه بندی شوند.

ردیابی رویدادها و مرتبط‌سازی آنها

مدیریت رویدادها به صورت از پیش تعبیه شده، به مدیران امکان مستندسازی تمام آنالیزهای انجام شده در ساختار Cloud و ایجاد ارتباط میان گزارش‌ها و تحلیل‌های بدست آمده را می‌دهد. ردیابی و مدیریت آنچه توسط دسته‌بندی‌های هشدار ایجاد گردیده است توسط تجهیزات امنیتی سیسکو انجام می‌پذیرد.

سهولت در استفاده

با استفاده از یک Browser Plug-in موجود در Firefox و Chrome میتوان به صورت مستقیم با استفاده از مرورگر به قابلیت‌های Threat response دسترسی داشت. با استفاده از Plug-in موجود در مرورگر می‌توان به هشدارهای موجود در FMC توسط Threat Response پاسخ داد تا بررسی دقیق‌تری صورت گیرد. همچنین Threat Response با پلتفرم SIEM و SOAR موجود به وسیله APIهای باز یکپارچه می‌شود تا واکنش سریع و پاسخگویی را خودکار کند.

Remediation مستقیم

لاگ‌های ایجاد شده توسط Firepower را پس از دسته‌بندی داده‌ها نشانه‌هایی از نفوذ برای ماژول‌های موجود وجود داشته باشد شناسایی و بررسی می‌نماید. Cisco Threat Response این امکان را می‌دهد تا اقدامات مناسب بطور مستقیم از Interface مربوطه انجام شود و شامل بلاک کردن فایل‌های مشکوک، دامین‌ها و موارد بیشتر است که نیازمند ورود به محصول دیگر نیست.

استفاده از تمام قابلیتهای موجود در معماری یکپارچه سیسکو

Cisco Threat Response از داده‌های هوشمند تهدیدات موجود در Cisco Talos استفاده می‌کند تا به صورت خودکار شاخص‌های نفوذ (IOCs) ،که با عنوان observable نیز شناخته شده‌اند، جست و جو کرده و تهدیدات را به سرعت شناسایی کنند. IOCهای تشکیل‌ شده ازfile hashها، IP address، اسامی دامین، ایمیل آدرس‌ها و URLهایی که در لیست هشدارها یافت می‌شوند عموما پیچیده هستند. بنابراین درک تاثیر و پتانسیل تهدیدات مشکل است. با Threat Response، می‌توان به سادگی observableها را به رابط کاربری “Investigate” از Cisco Threat Response پیوست داد و باعث عملکرد بهتر سامانه می‌گردد و همچنین در چند ثانیه تمامی اطلاعات منابع intel و دیگر تجهیزات امنیتی را فراهم می‌کند. به علاوه می‌توان با استفاده از قابلیت یکپارچه‌ سازی، اقدامات صحیح را مستقیما از رابط کاربری انجام داد. 

بیشتر بخوانید: بررسی ویژگی های Cisco Threat Response

محصولات Cisco Security با اشراف کامل نسبت به رخدادهای شبکه بلافاصله پس از مشاهده موارد مشکوک و خطرناک هشدار می‌دهند.  با یکپارچه‌ سازی Firepower در Cisco Threat Response می‌تواند از هشدارهای نفوذ، از سوی تجهیزات FirePower استفاده نماید. این امر دید کاملی نسبت به محتوای ترافیک شبکه ایجاد کرده و همبستگی لازم بین رخدادهای ایجاد شده با استفاده از تکنولوژی‌های امنیتی دیگر برای ارسال ذخیره هشدارهای تعیین شده را فراهم می‌کند. اکنون می‌توان با منابع محدود SOC، هشدارهایی که حقیقتا به توجه نیاز دارند بررسی نمود.

نحوه عملکرد Threat Response

تجهیزات Firepower داده‌ها را از طریق سرویس ارتباطی میانی امنیتی cloud با نام (Cisco Security Service Exchange (SSE، به Threat Response ارسال می‌کنند. Cisco Threat Response SSE را برای sighting های مرتبط با IP addressهای تحت بررسی Query کرده و تحلیل‌های SOC با موضوعات مضاعف را فراهم می‌کند. وقوع نفوذ به Incident Manager بر اساس Talos poor IP reputation و یا فیلترهای ساخته شده توسط کاربر برای IP address های خاص گزارش می‌شود. این امر به تیم اجازه می‌دهد بررسی رویدادها و سرعت آنها تا زمان  الویت بندی و تحلیل نفوذها انجام دهد.

دقت بیشتر، اختلال کمتر

Cisco Firepower NGFW از نقض‌های امنیتی جلوگیری کرده و می‌تواند سریعا حملات مخفی را با استفاده از دید کامل و پیشرفته‌ترین قابلیت‌های امنیتی هر فایروال موجود در دنیای امروز ردیابی کند. تمامی این‌ها درحالیست که قدرت اجرای شبکه را در حالت بهینه نگه می‌دارد. می‌توان با استفاده از Cisco Threat Response، بیشترین بهره‌ وری را از Next Generation Firewall داشت که بطور چشمگیری زمان و تلاش فردی برای بررسی و تحلیل نمودن رویدادهای امنیتی سایبری را کاهش می‌دهد و در نتیجه فعالیت‌های تیم SOC را موثرتر و بهینه‌تر می‌کند.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK