Bedrohungserkennung und Reaktion

Besseres Erkennen und Reagieren auf echte Bedrohungen

Eine fragmentierte Erkennung in IT- und OT-Umgebungen hinterlässt kritische Lücken, die von Angreifern ausgenutzt werden können. Wie stellen Sie sicher, dass keine Bedrohungen übersehen werden? Die gefährlichsten Bedrohungen sind solche, die man nicht kommen sieht. Einfache Probleme, die mit minimalem Aufwand behebbar wären, können schnell eskalieren und Ihr Unternehmen Zeit, Geld und Ansehen kosten. Nicht vernetzte Tools oder generische Lösungen sind keine Hilfe – durch eine Flut an Warnmeldungen schwächen sie die Aufmerksamkeit und machen es noch schwerer, kritische Bedrohungen aufzudecken.

Was Sie wirklich brauchen, ist eine gesamtheitliche Übersicht und kontextbezogene Informationen über Ihr gesamtes Unternehmen hinweg. Sie benötigen die Fähigkeit, Ereignisse nahtlos miteinander in Beziehung zu setzen und Ihre Reaktionen zu priorisieren, indem Sie Ihr bestehendes Sicherheitsökosystem nutzen und gleichzeitig bei der Fehlerbehebung auf Automatisierung setzen.

Demo Plannen

 

Der aktuelle Stand der Bedrohungserkennung

450

Warnmeldungen pro Stunde

28%

von Warnmeldungen werden schlichtweg nie bearbeitet

45%

der Warnmeldungen sind Fehlalarme

75%

der Unternehmen verbringen ≥ Zeit mit Fehlalarmen als mit tatsächlichen Angriffen

Proaktive Sicherheit beginnt mit umsetzbaren Erkenntnissen

Forescout konzentriert sich darauf, umsetzbare Erkenntnisse statt Warnmeldungen zu liefern, damit Sie proaktiv gegen Bedrohungen vorgehen können.

Unternehmensweite Überwachung der Sicherheit

Wir überbrücken die Kluft zwischen IT und OT und bieten die Möglichkeit, über 180 Datenquellen nahtlos zu integrieren, um eine vollständige Abdeckung Ihres gesamten Unternehmens zu gewährleisten. Unsere Lösung wandelt die Flut an Warnmeldungen in umsetzbare Erkenntnisse um und ermöglicht es Ihrem Team, präzise zu handeln und kritische Bedrohungen zu priorisieren. Forescout vereint wichtige SOC-Technologien auf einer einzigen Plattform und nutzt Automatisierung bei der Erkennung, Untersuchung, Bedrohungssuche und Reaktion auf komplexe Bedrohungen. Dies hilft, die Alert Fatigue zu verringert und die Ressourceneffizienz zu maximieren.

Analyse des Netzwerkverkehrs mit DPI für industrielle Protokolle

Unsere Deep Packet Inspection (DPI) wurde speziell für industrielle Umgebungen entwickelt und unterstützt über 350 standardisierte und proprietäre Protokolle, um beispiellose Einblicke in komplexe Netzwerkaktivitäten zu bieten. Anhand von Echtzeit-Kommunikationsanalysen können wir komplexe Bedrohungen und Anomalien erkennen, die andere Sicherheitstools oft übersehen. Die Forescout-Plattform nutzt maschinelles Lernen und generative KI, um Frühwarnzeichen für operative und Cyberbedrohungen wie ungewöhnliches Verhalten, falsche Prozesswerte, unerwartete Änderungen oder unautorisierte Verbindungen zu erkennen.

Datengestützte Erkennung

Wie stellen wir sicher, dass unsere Erkennungslösung stets auf dem neuesten Stand ist? Wir testen unsere Lösung täglich in einer Adversaries Engagement-Umgebung, wo reale Angriffe und kontinuierliche Forschung zusammentreffen. Vedere Labs spürt neue und aufkommende Bedrohungen auf und speist die entsprechenden Informationen direkt in unsere Plattform ein. Forescout verbessert die Ereignisanalyse, indem es TTPs und proprietäre Informationen aus unserer Industrial Threat Library in Warnungen einbettet. Durch Erweiterung der Ereignisklassifizierung um Kontextinformationen ist Ihr Sicherheitsteam in der Lage, zielgerichtet und effizient zu reagieren.

Konzipiert für Analysten: Das ultimative GUI

Sparen Sie sich lästiges Hin- und Herspringen zwischen Fenstern oder Kopieren und Einfügen von Daten zwischen Systemen. Mit Forescout haben Sie direkten Zugriff auf alle Informationen und benötige Funktionen. Ihre Sicherheitsanalysten können schneller und intelligenter arbeiten – sie können Warnmeldungen organisieren, Ereignisse korrelieren, Ausnahmen verwalten und Vorfälle bearbeiten – und das alles über eine einzige Benutzeroberfläche. Mithilfe von personenbezogenen Ansichten und vorkonfigurierten Dashboards kann Ihr Team die SOC-Ereignisanalyse, die Reaktion auf Vorfälle und die Berichterstellungs-Workflows optimieren und so den Zeitaufwand für sich wiederholende Aufgaben reduzieren.

Benutzerdefinierte Erkennung: Passen Sie Ihre Sicherheit an Ihre Bedürfnisse an

Im Gegensatz zu anderen Lösungen, bei denen Sie Einschränkungen unterliegen, können Sie mit Forescout die Erkennung und Klassifizierung von Ereignissen an Ihre spezifischen Bedürfnisse anpassen. Passen Sie Schwellenwerte an, nutzen Sie eigene Informationen – wie z. B. IoCs, YARA-Regeln und Signaturen – oder erkennen Sie Verhaltensweisen und gefährliche Zustände, die für Ihre Umgebung spezifisch sind. Jedes Unternehmen steht vor eigenen, individuellen Herausforderungen. Mit unserer Lösungen können Sie sich auf die Bedrohungen konzentrieren, die sich am unmittelbarsten auf Ihren Betrieb auswirken.

Automatisierte Reaktion: Optimieren Sie Ihre Sicherheitsabläufe

In vielen Unternehmen erfolgen Reaktionen nach wie vor über einen manuellen und fragmentierten Prozess, bei dem mit verschiedenen Tools und Anbietern eingesetzt werden. Trotz fortlaufender Investitionen in die Sicherheit sind Teams überfordert und haben Mühe, mit den sich immer schneller entwickelnden Bedrohungen Schritt zu halten. Die Lösung besteht nicht darin, ein weiteres Tool zu ergänzen – sondern vielmehr darin, die Möglichkeiten der Automatisierung zu nutzen. Mit Forescout können Routineaufgaben, die normalerweise von SOC-Teams erledigt werden, automatisiert werden. Dies ermöglicht eine koordinierte Umsetzung von Aktionen über Ihr gesamtes Sicherheitsökosystem hinweg, um schnellere und effizientere Reaktionen zu erzielen.

Möchten Sie wissen, was unsere Bedrohungserkennung so besonders macht?

Unser Erkennungssystem basiert auf über 20 Jahren praktischer Erfahrung und kann nahtlos in verschiedenen Umgebungen – IT, IoT, OT, BAS und IoMT – eingesetzt werden. Es bietet Ihnen die erforderliche Flexibilität, Genauigkeit und benötigten Informationen, um aufkommenden Bedrohungen stets einen Schritt voraus zu bleiben. Unsere anpassbare Lösung ermöglicht es Ihnen, komplexe IT- und OT-Herausforderungen zu bewältigen und souverän auf Bedrohungen zu reagieren.

Anomalieerkennung und Verhaltensmodellierung

Mit dieser Funktion können Benutzer automatisch das normale Verhalten ihres Netzwerks erlernen und jegliche Abweichungen vom Normalzustand schnell erkennen. Die Anomalieerkennung bietet unseren Benutzern sofortige Einblicke in potenzielle Bedrohungen und ermöglicht dadurch eine schnellere Erkennung und Reaktion. Im Laufe der Zeit passen sich unsere Verhaltensmodelle an und entwickeln sich kontinuierlich weiter, wodurch Fehlalarme minimiert werden und sichergestellt wird, dass Warnmeldungen sich nur auf signifikante Abweichungen konzentrieren, die wirklich Aufmerksamkeit erfordern.

LAN-Kommunikations-Profiler (LAN CP)

Diese Funktion ermöglicht es, Netzwerkkommunikationsflüsse abzubilden und Anomalien wie unerwünschte Hosts, unregelmäßige Kommunikationsmuster und unerwartete Prozessbefehle zu erkennen. Beispielsweise werden Schreibbefehle gekennzeichnet, wenn die Baseline nur Lesebefehle zulässt. Die Funktion ist sofort einsatzbereit und erfordert keine Konfiguration. Sie ermöglicht es Ihnen außerdem, Kommunikationsregeln aus externen Dateien zu generieren, um Fehlalarme zu reduzieren.

Deep Protocol Behavior Inspection (DPBI)

Dies ist eine unserer leistungsstärksten Funktionen, die die besten DPI-Fähigkeiten der Branche bietet. Die Funktion bietet tiefe Einblicke in Protokollfelder und kann Anomalien wie Protokollmissbrauch, Dateneinschleusung und Pufferüberlauf-Angriffe zuverlässig erkennen. Mit DPBI können Benutzer auch komplexe Szenarien bewältigen, z. B. Erkennen von Abweichungen bei Prozessparametern, die zwar innerhalb der Protokollspezifikation liegen, aber außerhalb der erwarteten Baseline sind. Diese Funktion setzt neue Maßstäbe für die präzise Erkennung und Abwehr von protokoll- und anomaliebasierten Bedrohungen.

Asset-Baselines für effektives Konfigurationsmanagement

Diese Funktion dient dazu, Gerätekonfigurationen zu Überwachungen und Benutzer über Abweichungen sofort zu benachrichtigen. Benutzer können Warnmeldungen und Schwellenwerte an ihre Bedürfnisse anpassen, um Workflows für Änderungsmanagement, Schwachstellenverfolgung, Risikobewertung und Compliance zu optimieren und zu automatisieren. Die Funktion speichert außerdem detaillierte Informationen zu den verschiedenen Assets, protokolliert Konfigurationsänderungen und erstellt eine historische Aufzeichnung für Prüfungs- und Analysezwecke. Dadurch behalten Benutzer den Überblick über kritische Ereignisse und die volle Kontrolle über Ihre Assets.

Leitfäden und umsetzbare Empfehlungen

Zu jedem erkannten Ereignis werden detaillierte Informationen bereitgestellt, darunter Schweregrad, Ereignisklassifizierung, TTP-Zuordnung (Taktiken, Techniken und Verfahren) sowie andere kontextbezogene Daten, um eine umfassende Analyse und gezielte Reaktion zu erleichtern. Wir stellen außerdem kuratierte Leitfäden mit möglichen nächsten Schritten und schrittweisen Anleitungen zur Verfügung, um sicherzustellen, dass unsere Benutzer alle Informationen erhalten, die sie benötigen.

Erkennung von Schadsoftware

Wir nutzen eine Kombination aus passiver netzwerkbasierter Überwachung und Endpunkterkennung über verwaltete Agenten, um Malware zu erkennen. Die Industrial Threat Library, eine umfangreiche Sammlung von Indikatoren für Kompromittierungen (IoCs), Signaturen und verhaltensbasierten Erkennungsregeln, umfasst über 160 Prüfungen auf bekannte ICS-Malware wie WannaCry, GreyEnergy und Triton. Warnmeldungen enthalten detaillierte Informationen zu den Assets, kontextbezogene Beschreibungen sowie PCAP-Dateien für die Traffic-Analyse, um eine schnellere Erkennung, eine gründliche Analyse und eine effiziente Reaktion auf Bedrohungen zu unterstützen.

Historische Aufzeichnungen für rückwirkende Analysen

Diese Funktion ermöglicht es unseren Benutzern, historische Netzwerkprotokolle zu überprüfen, um Bedrohungen aufzudecken, die aufgrund fehlender IoCs oder Signaturen ihrer Zeit übersehen wurden. Dies ist besonders wertvoll, um hartnäckige Bedrohungen oder Malware zu identifizieren, die sich im Laufe der Zeit weiterentwickeln. Mit dieser Funktion kann Ihr Team rückwirkende Analysen durchführen, um böswillige Aktivitäten zu erkennen und sicherzustellen, dass nichts übersehen wird.

Erkennung von fehlerhaften Paketen

Wir überwachen den Netzwerkverkehr kontinuierlich, um fehlerhafte Pakete zu identifizieren, die auf Versuche der Ausnutzung von Schwachstellen hinweisen können. Dieser proaktive Ansatz erkennt Bedrohungen wie Protokollmanipulationen oder Pufferüberlauf-Angriffe und ermöglicht es Benutzern, Risiken zu minimieren, bevor sie eskalieren. Dies hat sich als äußerst wirksam bei der Erkennung und Abwehr von Zero-Day-Angriffen wie DoublePulsar und Urgent11 erwiesen, noch bevor Erkennungssignaturen verfügbar waren.

Port-Scan-Erkennung

Unsere Lösung erkennt eine Vielzahl von Port-Scanning-Aktivitäten, einschließlich SYN-, ACK- sowie verteilte Scans, die darauf ausgelegt sind, unentdeckt zu bleiben. Unsere Plattform ermöglicht es Benutzern, die Empfindlichkeit anzupassen und Schwellenwerte für Warnmeldungen zu konfigurieren, um eine genaue Identifizierung potenzieller Bedrohungen zu gewährleisten und gleichzeitig Fehlalarme zu minimieren. Diese Fähigkeit hilft Ihrem Team, schnell auf Aufklärungsaktivitäten zu reagieren, bevor sie sich zu aktiven Angriffen entwickeln.

Erkennung unsicherer Protokolle

Wir verwenden Deep Packet Inspection (DPI), um unsichere Protokolle wie FTP und Telnet, veraltete oder anfällige Protokollversionen wie SMB und HTTPS und sogar schwache oder unverschlüsselte Kennwörter zu identifizieren. Durch Meldung dieser Schwachstellen, einschließlich schwacher Verschlüsselung oder unzureichender Authentifizierungsmechanismen, kann Ihr Team proaktive Maßnahmen ergreifen, bevor sie ausgenutzt werden. Sie werden nicht glauben, wie viele ungesicherte Verbindungen wir im Laufe der Zeit aufgedeckt haben.

Erkennung verdächtiger Netzwerkverbindungen

Wir überwachen den Netzwerkverkehr kontinuierlich, um Aufklärungsaktivitäten und verdächtige Verbindungen zu bösartigen IPs, wie z. B. Malware-Kommunikation oder abweichendes Geräteverhalten zu erkennen. Immer dann, wenn neue Verbindungen hergestellt werden, ungewöhnliche Protokolle verwendet werden oder Abweichungen im Geräteverhalten auftreten, werden Warnmeldungen ausgelöst.

Richtlinien für operative Bedrohungen

Neben der Bekämpfung von Sicherheitsrisiken helfen wir unseren Kunden auch, betriebliche Herausforderungen wie Gerätefehler, Fehlkonfigurationen oder Kommunikationsverluste zu bewältigen. Mithilfe maßgeschneiderter Richtlinien sind Sie in der Lage, kritische Aktivitäten zu überwachen, Wartungsabläufe zu verwalten und Störungen zu verhindern, bevor sie sich auf den Betrieb auswirken. Dies ist eine weitere leistungsstarke Funktion, die direkt einsatzbereit ist und von Ihnen sofort genutzt werden kann.

Benutzerdefinierte Erkennungsskripte und -erweiterungen

Um neu auftretende Bedrohungen effektiv zu bekämpfen, ermöglichen wir unseren Kunden, mithilfe von Laufzeiterweiterungen benutzerdefinierte Erkennungsregeln zu entwickeln. Durch diese Fähigkeit erhalten Kunden die erforderliche Flexibilität, um sich an neue Risiken anzupassen und ihre Sicherheitsmaßnahmen an einzigartige oder unerwartete Herausforderungen in ihrer Umgebung anzupassen.

Integration in EDR-Systeme von Drittanbietern

Unsere Plattform lässt sich nahtlos in EDR-Systeme (Endpoint Detection and Response) von Drittanbietern integrieren und nutzt IoCs aus verschiedenen Quellen für eine umfassende Bedrohungserkennung. Diese Integration erhöht die Sichtbarkeit in IT- und OT-Umgebungen und ermöglicht schnellere und effektivere Reaktionen auf potenzielle Bedrohungen.

Stärkere Leistung durch generative KI

Unsere Erkennung nutzt fortschrittliche generative KI, um komplexe Aufgaben wie die Analyse von Ereignissen, die Identifizierung von Risiken und die Erstellung detaillierter Berichte zu vereinfachen. Wir unterstützen unsere Benutzer dabei, große Datenmengen schnell zu filtern, um die gewünschten Informationen zu finden. Auf diese Weise sparen sie Zeit und können schnellere und fundiertere Entscheidungen treffen.

Kundenvertrauen

„Forescout Threat Detection & Response wird als verwalteter Dienst bereitgestellt und bildet einen strategischen Teil unseres mehrschichtigen Verteidigungskonzepts. Die Lösung vereint die für Compliance-Anforderungen unerlässliche Speicherung von Telemetrie-Rohdaten mit fortgeschrittenen Funktionen zur Bedrohungserkennung und -bekämpfung. Auf diese Weise können wir Risiken weiter reduzieren und die Anforderungen der Cyber-Versicherung erfüllen. Ihre Fähigkeit zur automatischen und zuverlässigen Identifizierung tatsächlicher Bedrohungen aus einer Vielzahl von Datenquellen innerhalb unserer hochgradig verteilten und globalen IT-Umgebung und zur Präsentation dieser Bedrohungen mit detaillierten, den Untersuchungs- und Reaktionsprozess rationalisierenden Kontextinformationen ist beeindruckend und unverzichtbar in der heutigen Bedrohungslandschaft.“

— Andrew Arthurs, CIO, Aimbridge Hospitality

Flexibel. Vielseitig. Schnelle Bereitstellung.

Forescout bietet eine unübertroffene Flexibilität bei der Bereitstellung, um den unterschiedlichen Hardware- und Cloud-Anforderungen moderner Umgebungen gerecht zu werden. Mit uns können Sie die Kompatibilität mit bestehenden Infrastrukturen gewährleisten und gleichzeitig Betriebsunterbrechungen minimieren. Diese Vielseitigkeit macht es zur idealen Wahl für Ihr Unternehmen. Wenn Sie nach robusten, skalierbaren Lösungen suchen, die auf Ihre individuellen betrieblichen und regulatorischen Anforderungen angepasst werden können, suchen Sie nicht weiter.

Die Forescout-Plattform ermöglicht eine nahtlose Integrationen und bietet Optionen für lokale Installationen, virtuelle Maschinen und Docker-basierte Container-Implementierungen, einschließlich:

  • Air-Gap-Systeme für hohe Sicherheitsanforderungen
  • Forescout-Systeme für eine maximale Übersicht und Kontrolle
  • Hybride Konfigurationen zur Vernetzung verteilter Standorte
  • Vollständig cloudbasierte Abläufe für optimale Skalierbarkeit

… sowie Sensoren, z. B.

  • Alleinstehende Anwendungen
  • Direkte Installation auf Routern und Switches für eine schnelle Implementierung ohne Produktionsunterbrechung
  • Oder konfiguriert als aktive Sensoren für die Abfrage der Netzwerkinfrastruktur

Verwenden Sie Forescout auf der Phoenix Contact Security Solutions Industrial Switching Platform für mehr Sicherheit und eine einfachere Bereitstellung

Reduzieren Sie physische Hardware und setzen Sie Forescout in Azure ein – eine skalierbare, robuste und kostengünstige Lösung

Nutzen Sie Forescout in Verbindung mit Paketbrokern von Keysight für effiziente und skalierbare Bereitstellungen

Nutzen Sie das Dell Validated Design for Energy Edge für den Einsatz in Umspannwerken mit ABB und Forescout

Jetzt Eine Demo buchen​

Erhalten Sie eine persönliche Tour durch unsere Lösungen und erfahren Sie, wie wir Ihnen bei der Automatisierung der Cybersicherheit helfen können.​

Demo Anfordern​
Demo Anfordern​EventsNach oben