ALPHASOC Network Behavior Analytics for Splunk

Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK. Используйте Network Behavior Analytics for Splunk для быстрого обнаружения зараженных хостов и угроз вашей среде. Приложение Splunk обрабатывает и отправляет сетевую телеметрию (CIM-совместимые события DNS, IP и HTTP) в AlphaSOC Analytics Engine для оценки и извлекает предупреждения безопасности и данные для расследования. The AlphaSOC Analytics Engine выполняет глубокие исследование материала, такие как:

• Объемный и количественный анализ (подсчет событий, выявление закономерностей)
• Разрешение полных доменных имен и доменов для сбора контекста (определение провалов и значений ASN)
• Разбивка и анализ каждой метки полного доменного имени (имя хоста, домен, TLD)
• Сбор данных о репутации (например, WHOIS и образцы вредоносных программ)
• Категоризация трафика на основе известных шаблонов (например, C2, P2P, VPN, cryptomining)

Конкретные варианты использования, включают в себя:

• Раскрытие обратных вызовов C2 и трафика на известные провалы
• Идентификация анонимных каналов Tor, I2P и Freenet
• Обнаружение незаконного криптомайнинга
• Обнаружение трафика на известные фишинговые домены
• Обнаружение фейковых брендов с помощью гомоглифов и транспозиций Unicode
• Обнаружение нескольких запросов на домены DGA с указанием заражения
• DNS и ICMP туннелирование и обнаружение эксфильтрации
• Активное сканирование сети
• Обнаружение нарушений правил (например, использование сторонних VPN и P2P)