Threat Hunter

Ocak 31, 2019

Realtime Malware Monitor özelliği sayesinde, zararlı uygulama bulaşmış kullanıcı trafiğini anlık raporlar. Infected File (Process) and Host (Device) Detection özelliği sayesinde zararlı yazılım bulaşmış kullanıcı ve kullanıcı bilgisayarındaki uygulama/processi tespit eder. Kullanıcı bilgisayarlarına ajan uygulaması kurmadan WMI protokolü sayesinde zararlı dosya tespiti yapar. Yeni Nesil Güvenlik Duvarlarında (Palo Alto, Infoblox, F5 Big IP) bulunan “Sinkhole” özelliği ile entegre çalışır.

Siber Saldırıların sayısı arttıkça ağınızı korurken proaktif olmak artık kaçınılmaz bir hal alıyor. Uyarıları beklemek ve ardından önlem almak artık güvenilir bir metodoloji olmaktan çıktı. Siber güvenlik sorumluları olarak kesintisiz biçimde kötü niyetli yazılım ve davranışları araştırmak, İnternet Korsanlarının birkaç adım ötesinde olmanın tek yolu. Roksit Threat Hunter, zararlı trafiği oluşturan istemci ya da sunucularda; hangi uygulama, hangi proses ya da hangi dosyanın bu zararlı trafigi oluşturduğunu tespit eden ve raporlayan, ajansız bir çözümdür. Threat Hunter ürünün çalışması için istemci, sunucu ya da ağ seviyesinde herhangi bir değişiklik yapılmasına gerek yoktur. Threat Hunter çözümü, SecureDNS ve DNS and Threat Visibility ürünleri ile entegre bir şekilde çalışır. Roksit Tehdit İstihbarat servisinin güçlü veritabanı ve yüksek kategorizasyon yeneteklerinden yararlanır. Threat Hunter çözümü, sadece zararlı uygulamaları değil, .dll enjeksiyon yöntemiyle zehirlenmiş standart sistem uygulamalarını da raporlamakta, imzalanmış ya da imzalanmamış DLL kontrollerini sağlamaktadır. Bu raporlar, kullanıcı bilgilerinin ve alan adı bilgilerinin zenginleştirilmesi ile, İşletim Sistemi, Kullanıcı Adı, Sistem Çalışma Zamanı, Sistem Bilgisi gibi bilgileri içeren geniş kapsamlı zararlı izleme raporu şeklinde sunulabilmektedir. Threat Hunter Sinkhole özelliğini destekleyen Güvenli Ağ Geçitleri ile bütünleşik biçimde çalışarak aktif tehdit tespiti ve bloklaması da yapabilmektedir.

Threat Hunter’in Çalışma Prensibi

1 – İnternet’e erişmek isteyen istemci, tanımlı Roksit SecureDNS sunucusuna bir DNS isteğinde bulunur.

2- Roksit SecureDNS sunucusu, isteği Roksit Tehdit İstihbarat Hizmeti’ne yönlendirir.

3- Çözümlenen alan adı, kurumsal politikalara uygunluk gösteriyorsa ya da zararlı içeriğe sahip değilse erişime izin verilir. Alan adı, zararlı bir içeriğe sahipse sayfaya erişim bloklanır

4- Kullanıcıya cevaben blok sayfası gönderilir. Bu esnada kullanıcı, DNS and Threat Visibility çözümünün IP’sine (Sinkhole IP) bağlanır.

5- DNS and Threat Visibility çözümü, istemci IP’sini ve diğer gerekli bilgileri Threat Hunter’a iletir.

6- Threat Hunter, istemciye bağlanıp kötü niyetli etkinliğe ait bilgileri toplar ve Raporlama Sunucusuna iletir.