Firma Trellix w ramach swojej Platformy Zabezpieczeń dostarcza szereg produktów, które znakomicie współpracują nie tylko ze sobą, ale także z rozwiązaniami innych producentów.

SIEM – gromadzenie, korelacja i przechowywanie danych

Główne zalety Trellix​ SIEM to:

• łatwość użytkowania – nie trzeba miesięcznych szkoleń ani armii analityków

• szybkość działania – świetnie zaimplementowana baza danych

• możliwość geolokacji zdarzeń

• wiele mechanizmów ułatwiających implementację, takich jak gotowe szablony raportów, korelacji, pakietów Content Pack

• łatwość tworzenia własnych parserów

• wykorzystanie wiedzy z zewnętrznych źródeł

• możliwości pracy w modelu MSSP.

Trellix SIEM – komponenty

Trellix Enterprise Security Manager (ESM) jest podstawowym komponentem systemu SIEM. ESM gromadzi znormalizowane i zagregowane zdarzenia przekazane przez kolektory, przechowuje je, obsługuje interfejs użytkownika i umożliwia zarządzanie innymi modułami SIEM. Jest odpowiedzialny za generowanie alertów, raportowanie i obsługę zdarzeń wykrytych na podstawie przetwarzanych danych. Za jego pośrednictwem odbywa się administracja całym systemem SIEM, w tym aktualizacje reguł i wersji oprogramowania. ESM umożliwia integrację Trellix SIEM z innymi systemami obsługi zdarzeń, z systemami badania podatności i systemem reputacji Trellix GTI. Posiada unikalną bazę danych o ogromniej wydajności.

Event Receiver (ERC) obsługuje zbieranie logów i przepływów, różne metody agregacji danych (aktywną i pasywną) oraz agregację szyfrowaną zgodną z normą FIPS 140-2 Level 2. Zawiera silnik korelacji oparty na regułach, który może działać jako host w ramach całej konfiguracji lub lokalnie. ERC jest konfigurowalny i skalowalny.

Log Manger (ELM) umożliwia gromadzenie logów i zdarzeń przekazywanych ze źródeł do SIEM w ich oryginalnej postaci, jeszcze przed rozpoczęciem przetwarzania przez ERC. Oryginalne logi są zapisywane na wewnętrznych dyskach ELM lub na zewnętrznych zasobach dyskowych. Czas przechowywania danych może być dostosowany do potrzeb i zależy tylko od ilości dostępnego miejsca.

Advanced Correlation Engine (ACE) pozwala na zaawansowaną korelację danych gromadzonych w bazie ESM. Może działać w jednym z dwóch trybów – korelacji napływających zdarzeń lub korelacji danych historycznych. Korelacja może odbywać się w oparciu o reguły oraz ryzyko.

Database Event Monitor (DEM) umożliwia monitorowanie baz danych. Pasywnie monitoruje zdarzenia, eliminując piki wydajnościowe związane z logowaniem. Ma wgląd w transakcje bazy danych, analizuje kto i w jaki sposób w danym momencie korzysta z danych, posiada funkcje rejestrowania nienaruszające prywatności.

Application Data Monitor (ADM) to sniffer sieciowy warstwy 7. Zapewnia monitorowanie aplikacji, dekoduje sesje aplikacji oraz dostarcza analizę podstawowych protokołów i sesji do samej zawartości aplikacji takiej jak tekst wiadomości, e-mail czy załączniki.

GTI – Global Threat Intelligence

Global Threat Intelligence jest usługą on-line. Serwis tworzy profil wszystkich podmiotów internetowych takich jak adresy stron, adresy e-mail i adresy IP – oparte na setkach różnych atrybutów pochodzących z ogromnych, globalnych możliwości zbierania danych firmy Trellix Labs. Następnie przypisuje ocenę reputacji w oparciu o zagrożenia dla bezpieczeństwa. Dzięki tej usłudze Trellix rozpowszechnia informacje o złośliwym działaniu praktycznie w czasie rzeczywistym, co pozwala na natychmiastowe zablokowanie dostępu do złośliwych źródeł.

Rozwiązania komplementarne do Trellix SIEM pozwalają na rozszerzenie funkcjonalności tego systemu, dzięki czemu tworzy się silny i efektywny, zautomatyzowany system bezpieczeństwa, odpowiadający współczesnym wyzwaniom.

TIE poprzez wymianę informacji o zagrożeniach pomiędzy urządzeniami końcowymi, rozwiązaniami zainstalowanymi na styku z Internetem oraz innymi systemami bezpieczeństwa, tworzy adaptacyjny system ochrony sieci korporacyjnej, wykorzystujący kompletną wiedzę o zagrożeniach.

ATD integruje się z szyną danych bezpieczeństwa DXL, zapewniając przesyłanie informacji o zagrożeniach do stacji końcowych i serwerów w czasie rzeczywistym oraz blokowanie na nich procesów i plików będących wynikiem infekcji. ATD integruje się również z Trellix ESM (SIEM) zasilając go informacjami o wykrywanych zagrożeniach. Mechanizmy korelowania tych informacji ze zdarzeniami spływającymi ze środowiska pozwalają na alarmowanie o przypadkach występowania zagrożeń na innych systemach i sieciach firmowych.

UEBA wykrywa zachowania odbiegające od normy w ramach procesu ciągłego monitorowania i ostrzegania, rozszerzając tym samym funkcjonalność systemu SIEM.

DXL  (Data Exchange Layer)

DXL to innowacyjna, dwukierunkowa szyna komunikacyjna czasu rzeczywistego, zapewniająca łatwą integrację pomiędzy różnymi produktami. Dzięki niej komponenty bezpieczeństwa pracują jak jedna drużyna wymieniając się stosownymi informacjami i tworzą inteligentny i adaptacyjny system (środowisko Security Connected).

DXL eliminuje złożoność:

• • Cała komunikacja odbywa się na pojedynczej szynie i protokole i jest ukierunkowana tematycznie
  • Spójny interfejs API dla wszystkich produktów
  • OpenDXL zapewnia możliwość tworzenia własnych integracji (np. integracji platformy DFLabs IncMan SOAR z Trellix ePO, ATD i TIE)
  • Dostarczanie zdarzeń następuje w czasie rzeczywistym (bez konieczności odpytywania)
  • Scentralizowane uwierzytelnianie i model autoryzacji
  • Wiele trybów komunikacji:
    - oparte na zdarzeniach (jeden-do-wielu)

- zapytanie-odpowiedź (jeden-do-jednego)

TIE  (Threat Intelligence Exchange)

TIE stanowi idealne rozwiązanie do tworzenia zintegrowanego ekosystemu analizy zagrożeń. Jest to lokalna baza reputacji dla całego środowiska, która gromadzi dane ze źródeł zewnętrznych (np. Trellix Global Threat Intelligence, czy VirusTotal) i wewnętrznych, a następnie w ciągu milisekund dzieli się z innymi rozwiązaniami bezpieczeństwa informacjami dotyczącymi reputacji plików. Ponadto serwer TIE przechowuje opisowe metadane, takie jak np. rozpowszechnienie (czy dany plik po raz pierwszy zaistniał w organizacji), które mogą pomóc w określeniu reputacji i związanego z tym ryzyka. Zastosowanie Trellix DXL umożliwia TIE błyskawiczne współdzielenie informacji wywiadowczych w całym ekosystemie, dzięki czemu rozwiązania bezpieczeństwa działają spójnie i błyskawicznie w celu zwiększenia ochrony całej organizacji.