Гарда Монитор

Продукт
Название базовой системы (платформы): Гарда Предприятие
Разработчики: Гарда Технологии
Дата премьеры системы: 2016/09/19
Дата последнего релиза: 2023/08/16
Технологии: ITSM - Системы управления IT-службой,  Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Основные статьи:


Гарда Монитор - программно-аппаратный комплекс для расследования сетевых инцидентов.

2023

*Сертификация «Гарда Монитор» версии 3.1 в Белоруссии

Система выявления угроз и расследования сетевых инцидентов «Гарда Монитор» версии 3.1 группы компаний «Гарда» сертифицирована в Белоруссии. Согласно требованиям Технического регламента Республики ТР 2013/027/BY, решение готово к использованию на территории страны.

NDR-система «Гарда Монитор» прошла необходимые испытания Национальной системы подтверждения соответствия. Результаты подтверждают, что система выполняет заявленные функции и защищает от модификации критических параметров при помощи механизма контроля целостности собственных компонентов.

«
«NDR (Network Detection and Response – система выявления сетевых угроз и реагирования на них) – фундаментальный инструмент мониторинга для современного центра противодействия кибератакам (SOC), – отметил Павел Кузнецов, директор по продуктам компании «Гарда Технологии». – Даже если атакующие скрупулёзно скрывают следы своего присутствия на конечных точках в корпоративной сети, признаки их активности возможно выявить путём анализа сетевого трафика. Успешная практика применения системы в России теперь позволит помочь белорусскому бизнесу своевременно реагировать на инциденты и купировать угрозы, а совместное применение с такими средствами защиты как Deception, Anti-DDoS и сервисами Threat Intelligence существенно повысит киберустойчивость предприятий».
»

NDR-система «Гарда Монитор» выявляет угрозы как традиционными, сигнатурными методами, так и двумя видами ML-моделей. Аналитический модуль позволяет оперативно обрабатывать инциденты ИБ, а широкие интеграционные возможности – реагировать на инциденты с помощью всех доступных средств, включая специализированные средства защиты информации и сетевое оборудование. Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.6 т

Помимо всего, в сертифицированной версии «Гарда Монитор» улучшена функциональность поведенческой аналитики и классификации угроз, отметили в компании.

«Гарда Монитор 3.1» с разделом «Последние события»

29 мая 2023 года компания «Гарда Технологии» представила обновленную версию системы для выявления угроз, их классификации и активного реагирования на угрозы «Гарда Монитор 3.1»: улучшена функциональность поведенческой аналитики, классификации и распределения угроз.

По результатам анализа лучших практик в сегменте NDR в систему для выявления угроз и расследования сетевых инцидентов добавлен раздел «Последние события», который позволяет анализировать все выявленные угрозы в одном окне и реагировать на них.

В интерфейс добавили виджет «Распределение по типам угроз». Он отображает выявленные события в разрезе времени, показывает, в каких категориях, в каких типах угроз, какие именно события были зафиксированы, тем самым упрощая анализ и проведение расследований инцидентов.

В карточках событий содержится детализированная информация по интересующим полям, их вид динамически перестраивается в зависимости от необходимых подробностей. От события можно перейти в раздел с указанием места его детектирования, увидеть контекст и получить доступ к тому сетевому потоку, на котором произошло срабатывание. Источниками данных являются либо срабатывания по фильтрам политик, либо результаты, выявленные с помощью поведенческого анализа.

Выявление аномалий в «Гарда Монитор» осуществляется с помощью ML-модели поведенческого анализа, которая строится на анализе сетевого трафика. Для обучения пользователь определяет параметры, которые модель должна отслеживать, и указывает его срок. По истечению срока система предоставляет возможность сравнить текущие данные с прогнозом модели и в случае отклонений уведомляет об аномалиях. В данном релизе усовершенствовано отображение данных. Теперь система по умолчанию демонстрирует все данные на двухчасовом интервале, показывает всплески, которые можно визуально сравнить со значениями из модели – для оценки отклонений.

Кроме того, в «Гарда Монитор 3.1» добавлены поведенческие модели без обучения. Они позволяют выявлять пороговые события по количеству установленных соединений, объемам передаваемых данных, медленное сканирование системы и периодические запросы (маяки) на внешние ресурсы. Таким образом появилась возможность выявлять самые последние ботнеты и обращения к C&C без сигнатур и IoC.

«
Представленный релиз – это большой шаг вперед для развития продукта, своеобразный переход в другой класс, – сказал Станислав Грибанов, руководитель продукта «Гарда Монитор» компании «Гарда Технологии». – Помимо полного контроля сетевого трафика по SPAN/TAP и NetFlow, продукт начал выявлять угрозы двумя видами ML-моделей, используя только данные NetFlow. Улучшенная аналитическая система позволяет оперативно обрабатывать инциденты ИБ и при интеграции с SIEM передавать не «сырой» syslog, а выявленные инциденты. Активное реагирование через API «Гарда Монитор» позволяет блокировать вредоносные ресурсы с помощью автоматической отправки ACL на маршрутизаторы, а также передавать инциденты в IRP/SOAR-системы,

»

«Гарда Монитор» интегрируется с другими решениями компании, позволяя обеспечить киберустойчивость бизнеса. Например, применение совместно с «Гарда Скаут» открывает возможность выявлять угрозы в зашифрованном трафике без использования ssl fingerprint, доступных в «Гарда Монитор». Совместное использование с «Гарда Сталкер» позволяет расширить возможности детектирования угроз, подключив потоки данных с индикаторами компрометации (фиды) и их ретроспективный поиск.

Совместимость с ОС «Альт 8 СП»

30 марта 2023 года компания Базальт СПО сообщила о том, что сразу три продукта российского разработчика систем информационной безопасности «Гарда Технологии» прошли сертификационные испытания и подтвердили совместимость с отечественной ОС «Альт 8 СП»: «Гарда Маскирование» для обезличивания баз данных, агент системы защиты баз данных «Гарда БД» и NTA-система «Гарда Монитор». Совместное применение программных продуктов позволит организациям создавать доверенную цифровую среду для работы с конфиденциальной информацией и персональными данными. Подробнее здесь.

2022: Получение сертификата ФСТЭК на соответствие 4 уровня доверия

NTA-система «Гарда Монитор» компании «Гарда Технологии» получила сертификат Федеральной службы по техническому и экспортному контролю № 4613. Продукт соответствует требованиям информационной безопасности 4 уровня доверия и допускается к применению в государственных информационных системах до первого класса защищенности включительно. Об этом компания «Гарда Технологии» сообщила 29 ноября 2022 года.

«Гарда Монитор» относится к решениям класса NTA (Network Traffic Analysis – анализатор сетевого трафика), используется для выявления угроз информационной безопасности на уровне сети и расследования инцидентов информационной безопасности. Решение повышает прозрачность происходящего в сетях, обнаруживает присутствие в них злоумышленников и является неотъемлемым инструментом любого SOC (Security Operations Center – центр мониторинга информационной безопасности). Функция записи сетевого трафика позволяет проводить полноценные расследования и устранять причины, приводящие к возможности совершения злонамеренных действий.

Решение применимо в любых отраслях бизнеса: от промышленных и производственных предприятий до финансовых организаций и IT-компаний. Благодаря наглядному интерфейсу и развитому набору аналитических инструментов «Гарда Монитор» позволяет решать задачи обеспечения безопасности с минимальными трудозатратами.

«
При построении процессов мониторинга и реагирования специалисты хотят получить максимально бесшовную передачу информации между системами безопасности, – отметил директор по продуктам компании «Гарда Технологии» Павел Кузнецов. – Поэтому при разработке мы фокусировались на максимальной эффективности решения. Это выразилось как в высокой производительности системы «Гарда Монитор», так и в гибких интеграционных возможностях, позволяющих системе взаимодействовать со всеми технологическими компонентами SOC.
»

2021

Поддержка сигнатур в формате Suricata 6

Российский вендор ИБ-решений «Гарда Технологии» (входит в «ИКС Холдинг») 10 ноября 2021 года сообщил о том, что обновил и расширил функциональные возможности сетевого анализа, детектирования и расследования сетевых инцидентов NTA-системы «Гарда Монитор» с помощью внедрения технологии вызова пользовательских скриптов.

«Гарда Монитор» собирает и записывает данные обо всех IP-соединениях, выявляет различные признаки вредоносного ПО и подозрительной активности в сетевом трафике. Решение позволяет обнаружить даже те инциденты в сети, которые прошли мимо других систем безопасности. Комплекс нередко используют крупные предприятиям как «систему последнего шанса», когда инцидент произошел вопреки всем действующим системам безопасности, и нужно восстановить ход событий, чтобы понять, что произошло, как и почему, и что сделать, чтобы инциденты не повторялись, рассказали в компании.

«Гарда Монитор» анализирует сетевой трафик, использует сочетание сигнатурного анализа и машинного обучения для обнаружения атак, подозрительной активности в корпоративной сети и расследования сетевых инцидентов. В обновленной версии добавлена поддержка сигнатур в формате Suricata 6.

Решение анализирует поведение сетевых приложений и трафика, показывая связи по протоколам. «Гарда Монитор» детектирует более 250 протоколов, включая протоколы удаленного управления (TeamViewer, RDP и др.), протоколы туннелирования трафика (OpenVPN, CiscoVPN и др.), протоколы сетевых игр (Warcraft, Battlefield и др.), а также мессенджеры, соцсети и TOR.

Помимо привычного экспорта информации об инциденте в SIEM и уведомления на почту появилась возможность реагирования на инциденты с помощью Python-скриптов. Это делает возможным интеграцию «Гарды Монитор» с любыми внешними системами, например, с IRP-системой TheHive.

Еще одно нововведение «Гарды Монитор» — блокировка сетевых соединений на маршрутизаторах под управлением ОС Cisco Nexus, что позволяет блокировать нежелательные подключения, например, к командным центрам бот-сетей из внутренней сети.

«Гарда Монитор» становится ежедневным инструментом для оперативной работы специалистов службы безопасности в крупной сетевой инфраструктуре, в том числе при построении SOC: выявляет вредоносную активность в сетевом трафике, осуществляет мониторинг длительных сессий, передает данные в системы реагирования на инциденты через вызов пользовательских скриптов, проводит расследования с последующим устранением инцидентов и позволяет создать политики безопасности для исключения их повторения.

Интеграция с ESET Threat Intelligence

Компании-производители решений по информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») и ESET объединили усилия для повышения скорости обнаружения и расследования сетевых инцидентов. Об этом «Гарда Технологии» сообщили 3 марта 2021 года. Теперь система «Гарда Монитор» по анализу сетевого трафика интегрируется с сервисом ESET Threat Intelligence (ETI).

Такое технологическое партнерство обеспечило системе «Гарда Монитор» доступ к репутационной базе ESET Threat Intelligence. Регулярно обновляемая база содержит информацию о деятельности киберпреступников, в частности, о текущей активности ботнетов и фальшивых интернет-ресурсах, задействованных в кибератаках.

ETI позволяет системе «Гарда Монитор» своевременно выявлять угрозы, обнаруживать атаки на периметре и внутри организации, анализировать и блокировать вредоносный трафик. Технологии ESET агрегируют данные с помощью свыше 100 млн точек сбора по всему миру.

Пользователи «Гарда Монитор», укомплектованного ETI, получат защиту от компрометации корпоративной ИТ-инфраструктуры. Внедрение и использование не требуют дополнительной нагрузки на ИБ специалистов.

«
Доступ пользователей «Гарда Монитор» к картотеке ETI упрощает расследование сетевых инцидентов. ETI собирает данные безопасности, актуальные для разных систем. Это повышает защищенность компании, особенно в ситуации, когда сотрудники используют разнообразные устройства и ПО,
сказал Александр Пирожков — руководитель направления ESET Threat Intelligence
»

«
В корпоративной сети ежедневно происходят миллионы соединений. Чтобы защищать ее от кибератак, необходимо знать какие ресурсы могут быть использованы для их проведения. Важно получать актуальную информацию о репутации интернет-сервисов и использовать эти данные при анализе процессов, происходящих в корпоративной сети. Совместное использование комплекса «Гарда Монитор» и оперативных данных киберразведки ESET TI позволит организациям в автоматическом режиме обнаруживать вредоносные и подозрительные соединения в инфраструктуре и предупреждать ее компрометацию,
отметил Илья Уразбахтин — руководитель направления центра компетенций информационной безопасности «Гарда Технологии»
»

2020

Возможность автоматического обнаружения трафика от новых устройств и сервисов в заданном сегменте сети

Российский разработчик систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») 21 декабря 2020 года представил обновленную версию системы анализа сетевого трафика и расследования сетевых инцидентов класса NTA (Network Traffic Analysis) — «Гарда Монитор» с возможностью автоматического обнаружения трафика от новых устройств и сервисов в заданном сегменте сети.

В системе реализована возможность наблюдения за используемыми IP-адресами, MAC-адресами, DNS-именами устройств и портами получателей (сервисами) в заданном сегменте сети. «Гарда Монитор» автоматически обнаруживает трафик от нового устройства или сервиса. Исчезновение трафика также будет выявлено. Специалист по информационной безопасности теперь может указать интересующие сегменты сети и задать для них наблюдаемые объекты, период обучения и допустимые интервалы отсутствия трафика устройства или сервиса. Предусмотрен переход от информации о событии, непосредственно к трафику.

Добавлены автоматически обновляемые репутационные списки IP-адресов, доменов и URL-адресов по следующим категориям: активность бот-сетей, использование вредоносного ПО, обращение к фишинговым ресурсам, криптомайнинг, обращение к подозрительным ресурсам, обращение к хостам поддерживающим технологию DNS-запросов поверх HTTPS. Также в системе предусмотрена возможность добавлять пользовательские автоматически обновляемые источники сигнатур и списков.

Стало возможным дектектирование промышленных протоколов DNP3, MODBUS, OPCUA, S7Comm. Каждый протокол разбирается до уровня команд.

Наряду с приёмом статистики от маршрутизатора по протоколу NetFlow в «Гарда Монитор» добавлена поддержка протокола sFlow v2/v4/v5.

Существенно доработан функционал доменной авторизации. Добавлена поддержка нескольких серверов для аутентификации и корневых каталогов поиска, поддержка LDAPs, а также SSL/TLS аутентификация.

Переработан интерфейс раздела фактов сетевой разведки. Добавлена возможность отображения на карте сети узлов, подвергшихся разведке.

Добавление функции выявления аномалий в сетевом трафике

7 апреля 2020 года Гарда Технологии сообщили и выходе обновления решения по анализу и расследованию сетевых инцидентов «Гарда Монитор». Теперь система наделена функцией выявления аномалий в сетевом трафике.

С помощью технологий поведенческой аналитики (EBA — Entity Behavior Analytics) «Гарда Монитор» выявляет существенные отклонения в поведении устройств. Среди них: резкий всплеск объема трафика, увеличение числа сетевых соединений, увеличение количества одновременно используемых уникальных портов. Таким образом, система позволяет обнаруживать использование туннелей SSH, UDP и т.п., работу вредоносного ПО в виде бот-сетей, вирусов и т.п., подозрительную активность, такую как единичный всплеск трафика с узла, ошибки в сетевых настройках серверов, рабочих станций и сервисов компании, например, в виде постоянных попыток подключения на недоступный порт.

Для выявления аномалий в сетевом трафике систему нужно настроить и провести ее обучение. Для этого офицеру безопасности необходимо указать наблюдаемые сегменты сети и свойства, по которым требуется выявление отклонений. Система отображает профиль поведения устройства за исследуемый период времени для обнаруженных аномалий.

В системе также появилась функция автоматического обновления репутационных списков, поставляемых центром компетенций по информационной безопасности «Гарда Технологии». С момента внедрения обновлений в комплексе можно получить доступ к актуальной информации об ip-адресах командных центров бот-сетей и URL-адресах вредоносного ПО, о фактах обращений к которым система незамедлительно оповещает службу безопасности.

Возможность просмотра истории авторизации пользователей в сети предприятия и настройки правил записи и хранения данных

28 февраля 2020 года компания «Гарда Технологии» выпустила обновленную версию продукта для выявления и расследования сетевых инцидентов «Гарда Монитор». В системе появилась возможность просмотра истории авторизации пользователей в сети предприятия и настройки правил записи и хранения данных.

Интерфейс «Гарда Монитор»

Как отметил разработчик, «Гарда Монитор» применяется для оперативного выявления признаков нарушений политик информационной безопасности предприятия. Среди них обнаружение вредоносной активности, попыток использования уязвимостей и нелегального доступа, а также обращения к скомпрометированным ресурсам. Система мгновенно информирует о нарушениях службу безопасности.

Для выявления фактов вторжения в сетевую инфраструктуру предприятия анализ трафика строится на основе автоматически обновляемых решающих правил. Их предоставляет для удобства пользователей системы Центр компетенций информационной безопасности «Гарда Технологии». Для решения задачи анализа трафика система «Гарда Монитор» обеспечивает гибкий поиск по свойствам сетевых соединений с отображением результатов в виде таблиц и диаграмм с возможностью получения содержимого сетевого соединения в формате pcap. Чтобы получать уведомления об инцидентах на почту или в SIEM, достаточно настроить соответствующий фильтр, утверждает разработчик.

Со слов разработчика, в обновленной версии появилась возможность просмотра истории авторизации пользователей на рабочих станциях. С ее помощью можно выявить факты разглашения, кражи или компрометации учетных данных пользователей. Также добавлена авторизация пользователей по учетной записи из корпоративного домена благодаря поддержке интеграции по проколу LDAP.

Интерфейс «Гарда Монитор»

Пользователи «Гарда Монитор» могут настраивать правила записи трафика, например, отключить запись SSL-содержимого, что позволяет экономить объем используемого дискового пространства. В системе предусмотрена возможность задавать раздельное время хранения статистки и содержимого сетевых соединений, например, статистику хранить две недели, а содержимое – только три дня. Появилась возможность просмотра данных прикладных протоколов из TCP/UDP трафика. Это позволяет получить более полную информацию об анализируемом потоке без использования сторонних инструментов, отметили в «Гарда Технологии».

Согласно заявлению разработчика, в обновленном решении есть возможность выделения текста из потоков HTTP-трафика, почты и TELNET-трафика. Внедрены фильтры, позволяющие выполнять поиск по извлеченному тексту. Для удобства работы с системой добавлена «База Знаний» детектируемых gardatech.ru протоколов, позволяющая не выходя из комплекса узнать назначение интересующего протокола. Кроме того, пользователи могут настраивать цветовую схему отображения протоколов и задавать названия службам, принимающим подключения на указанном порту.

«Гарда Монитор» анализирует сетевой трафик, использует сочетание сигнатурного анализа, машинного обучения и расширенной аналитики для обнаружения атак, подозрительной активности в корпоративной сети и расследования сетевых инцидентов.

2016: Выпуск ПАК «Гарда Монитор»

20 сентября 2016 года компания МФИ Софт заявила о выпуске программно-аппаратного решения Гарда Монитор.

Продукт выполняет непрерывный мониторинг и запись всего трафика предприятия с индексацией, быстрым поиском и воспроизведением событий за любой период времени.

Схема взаимодействия "Гарда Монитор", (2016)

Продукт может использоваться для обеспечения управления информационной безопасностью, контроля целостности сетевой инфраструктуры по протоколам передачи данных в IP-сетях.

Возможность «Гарды Монитор» записывать и воспроизводить весь трафик в ретроспективе допускает детектирование всех открытых портов, запрещенных в компании, контроль утечек данных, фиксацию и оповещение о технических сбоях, кибератаках и вирусной активности.

Продукт обеспечивает потребности крупных распределенных организаций в границах регионов, центров по мониторингу и реагированию на инциденты (SOC), экспертов компьютерной криминалистики.

«
Несмотря на высокий уровень развития технологий информационной безопасности, остаются инциденты, прошедшие мимо систем защиты. «Гарда Монитор» дает специалисту последний шанс на выявление и расследование инцидента напрямую в сетевом трафике компании. Система «Гарда Монитор» стала логическим дополнением группы решений информационной безопасности «Гарда», в которую уже входят система защиты баз данных «Гарда БД» и DLP-система «Гарда Предприятие». Теперь комплекс решений «Гарда» обеспечивает полный спектр активной и пассивной защиты от внутренних угроз безопасности данных.

Владимир Пономарев, заместитель генерального директора «МФИ Софт»
»

«Гарда Монитор» поддерживает более 50 актуальных протоколов, включая HTTP, POP3, FTP, SSH, оснащена высокопроизводительным хранилищем со скоростью обработки трафика 10 Гбит/с и выше.

Решение может интегрироваться с SIEM-системами, хранит все потоки данных в исходном виде для повторного воспроизведения, поддерживает распределенную инфраструктуру.

Имеет средства аналитики с многоуровневой системой отчетности.

Функционал

  • Выявление аномалий в трафике: всплески или падение сетевой активности, использование нестандартных портов, протоколов, приложений.
  • Определение географического положения источника и получателя данных, запись метаданных.
  • Сохранение потоков в «сыром» исходном виде для повторного воспроизведения трафика в лаборатории информационной безопасности.
  • Классификация трафика по протоколам (HTTP, POP3, FTP, SSH, более 50 протоколов).
  • Полнотекстовый поиск по перехваченным данным и реконструкция объектов по следующим критериям:
    • по MAC-адресам источника и получателя;
    • по Vlan ID;
    • по версии протокола IP (поле Version заголовка IPv4 или IPv6);
    • по IP-адресам источника и получателя;
    • по портам источника и получателя;
    • по типу протокола транспортного уровня;
    • по типу прикладного протокола;
    • по полям протоколов HTTP, протоколов передачи почтовых сообщений, сообщений IM и др.;
    • по длине пакетов.

  • Гибкая система фильтров

    • мгновенный критериальный поиск, включая детектирование шифрованного трафика.

  • Интеграция с SIEM-системами и экспорт данных.


Свойства

  • Высокая производительность: анализ трафика со скоростью 10 Гбит/с., хранение более 100 TБ данных.
  • Неограниченный объем записи трафика и оперативный доступ к данным за любой период времени.
  • Библиотека предустановленных политик для выявления инцидентов и возможность настроить свои политики для оперативного контроля трафика в режиме реального времени.
  • Интерактивные отчеты и аналитика входящего и исходящего трафика, статистика инцидентов.
  • Не требует сторонних лицензий.



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  РусБИТех-Астра (ГК "Астра") (1, 2)
  Флант (Flant) (1, 1)
  Другие (0, 0)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год