APT-Erkennung in einem Ministerium-Netzwerk
Ein Ministerium erkannte staatlich gesponserte Akteure, die Daten via DNS-Tunneling exfiltrierten, mit Deep Discovery und blockierte sie.
Trend Micro · Cybersicherheit
Deep Discovery (Network Detection)
Netzwerk-Analytik-Plattform für Targeted-Attack- und APT-Erkennung.
Kurzantwort
Trend Deep Discovery ist eine NDR (Network Detection and Response)-Lösung, die den Unternehmens-Netzwerkverkehr in Echtzeit analysiert. Sie erkennt gezielte Angriffe (APTs), Lateral Movement und Datenexfiltration über Custom Sandbox und tiefe Protokollanalyse.
Deep Discovery Inspector (DDI) ist eine NDR-Appliance, die out-of-band an das Unternehmensnetzwerk über SPAN/TAP angeschlossen ist. Es analysiert 100+ Protokolle tief und erkennt sowohl bekannte als auch unbekannte Bedrohungen.
Die Custom Sandbox-Komponente führt das Unternehmens-Gold-Image (Windows 10/11 + Unternehmenssoftware) in der Sandbox aus, um gezielte Angriffe zu erkennen, die auf die Kunden-Umgebung zugeschnitten sind. APTs können generische Cloud-Sandboxes umgehen, wenn sie den Host erkennen; ein kundenspezifisches Image schließt diese Umgehung.
Es speist Vision One XDR als NDR-Sensor — Netzwerk-Events korrelieren mit Endpoint- + E-Mail- + Identitäts-Events. Es ist eine kritische Komponente für Lateral-Movement-Erkennung.
Wichtige Funktionen
Was es bietet
- Custom Sandboxing
- Lateral Movement und C&C-Erkennung
- 100+ Protokoll-Deep-Inspection
- SIEM- und SOAR-Integration
- Vision One NDR-Komponente
- Out-of-Band (SPAN/TAP)-Betrieb
- Threat-Intelligence-Feeds
- Jährliches IDS-Signatur-Update
Technische Übersicht
Wichtige technische Daten
- Formfaktor
- 1U/2U physisch + virtuelle Option
- Output-Kapazität
- 100 Mbps → 10 Gbps Modelle
- Sandbox
- On-Board Custom + Cloud Sandbox
- Verbindungsmodus
- SPAN-Port oder TAP
- Protokolle
- 100+ (HTTP/S, SMTP, DNS, SMB, RDP, etc.)
- SIEM-Forwarding
- syslog CEF, REST API
AnwendungsfälleBehörden Banking Energie Gesundheitswesen
Wann sollten Sie sich für dieses Produkt entscheiden?
SWIFT-Netzwerk-Überwachung
Eine Bank platziert Deep Discovery im SWIFT-Segment und überwacht bekannte SWIFT-zielende TTPs (Taktiken, Techniken und Verfahren) in Echtzeit.
OT-Lateral-Movement-Erkennung
Ein Energieproduzent erkennt Lateral-Movement-Versuche an der IT-OT-Grenze innerhalb von Stunden mit Deep Discovery.
Patientendaten-Exfiltrations-Prävention
Eine Krankenhauskette lässt Deep Discovery bei großen Datenexfiltrations-Mustern alarmieren und zum SOC-Team eskalieren.
Für wen ist es geeignet?
Kritische Infrastruktur, Behörden, Banking und große Unternehmen mit reifen SOC-Teams.
Häufig gestellte Fragen
Häufig gestellte Fragen
Läuft es inline oder out-of-band?
Out-of-band. Verkehr wird über SPAN-Port oder TAP beobachtet; der Netzwerkfluss wird nicht unterbrochen. Es ist daher erkennungs-fokussiert; zum Blockieren wird es zusammen mit TippingPoint oder einem NGFW verwendet.
Wie funktioniert die Custom Sandbox?
Wir laden Ihr Windows 10/11 Gold-Image und die Anwendungen, die Sie verwenden (z.B. SAP GUI, Citrix), in das Sandbox-Image. Verdächtige Dateien werden gegen dieses Image detoniert; APTs, die die Umgebung erkennen, können nicht so leicht umgehen.
Verlässt der Verkehr das Rechenzentrum?
Nein — die On-Board-Sandbox läuft lokal. Wenn Cloud Sandbox hinzugefügt wird, werden verdächtige Samples in die Cloud gesendet (optional). DSGVO-sensitive Organisationen bleiben im Local-Only-Modus.
Welche Protokolle werden analysiert?
HTTP/HTTPS, SMTP, FTP, SMB, DNS, RDP, Kerberos, LDAP, IMAP, POP3, SNMP, SSH, Telnet, TFTP, VoIP (SIP/RTP), IRC, P2P und mehr — 100+ Protokoll-Katalog.
Welche Auswirkungen auf die Leistung gibt es?
Out-of-Band, also null Auswirkungen auf den Netzwerkverkehr. Nur SPAN-Port und Appliance CPU/RAM werden verbraucht; eine typische 2 Gbps Deep Discovery Appliance belegt 2U.
Läuft es in Cloud-Umgebungen?
Ja — Virtual Deep Discovery (DDvI) läuft auf AWS, Azure und VMware ESXi. Verkehr kommt über VPC Mirroring auf AWS und vTAP auf Azure.
Wie wird es mit SIEM integriert?
Es sendet Event-Daten an Splunk, Sentinel, QRadar und Elastic SIEM über syslog CEF, REST API und Webhook. Native Integration in Vision One ist verfügbar.
Wie unterscheidet es sich von TippingPoint?
TippingPoint ist inline IPS (Blockierung). Deep Discovery ist out-of-band NDR (Erkennung). Verschiedene Schichten; zusammen bereitgestellt.
Was ist das Lizenzierungsmodell?
Hardware einmalig + jährliches Threat-Intelligence- und Sandbox-Abonnement. Zahlung ist einmalig CAPEX + jährliches OPEX.
Gibt es MITRE ATT&CK Mapping?
Ja. Erkannte Events werden mit MITRE ATT&CK Taktik/Technik-IDs getaggt. Die Vision One Oberfläche visualisiert die Kill Chain.
Offizielle Produktseite des Herstellers
Öffnet die originale technische Dokumentation und Produktseite des Herstellers in einem neuen Tab.
Trend Micro — Deep Discovery (Network Detection) →Gleiche Marke
Trend Micro — weitere Produkte der Familie
Trend Vision One
KI-gestützte Plattform, die XDR, ASRM und Cyber-Risikomanagement in einer einzigen Konsole vereint.
DetailsApex One
KI-gestützter Enterprise Endpoint Protection (EPP + EDR).
DetailsWorry-Free Business Security
Cloud-basierter Endpoint- + E-Mail-Schutz für KMUs.
DetailsDeep Security / Server & Workload Protection
Hybride Workload-Sicherheit für physische, virtuelle und Cloud-Server.
DetailsVergleichbare Lösungen
Ähnliche Lösungen anderer Marken
Deep Discovery (Network Detection) — Lizenz + Bereitstellung + Support
Sora Yazılım übernimmt Lizenzierung, Bereitstellung, Schulung und laufendes Management — alles aus einer Hand.