Обнаружение APT в сети министерства
Министерство обнаружило спонсируемых государством акторов, эксфильтрирующих данные через DNS-туннелирование, с помощью Deep Discovery и заблокировало их.
Trend Micro · Кибербезопасность
Deep Discovery (Network Detection)
Платформа сетевой аналитики для обнаружения целенаправленных атак и APT.
Краткий ответ
Trend Deep Discovery — это решение NDR (Network Detection and Response), которое анализирует корпоративный сетевой трафик в реальном времени. Обнаруживает целенаправленные атаки (APT), латеральное перемещение и эксфильтрацию данных через Custom Sandbox и глубокий анализ протоколов.
Deep Discovery Inspector (DDI) — это NDR appliance, подключаемое к корпоративной сети out-of-band через SPAN/TAP. Глубоко анализирует 100+ протоколов и обнаруживает как известные, так и неизвестные угрозы.
Компонент Custom Sandbox запускает корпоративный gold-образ (Windows 10/11 + корпоративное ПО) в песочнице для обнаружения целенаправленных атак, которые адаптированы под среду клиента. APT могут обойти общие облачные песочницы, если они обнаружат хост; пользовательский образ закрывает этот обход.
Питает Vision One XDR как NDR-сенсор — сетевые события коррелируются с событиями конечных точек + электронной почты + идентичности. Это критический компонент для обнаружения латерального перемещения.
Ключевые возможности
Что предлагает
- Custom Sandboxing
- Обнаружение латерального перемещения и C&C
- Глубокая инспекция 100+ протоколов
- Интеграция SIEM и SOAR
- NDR-компонент Vision One
- Работа Out-of-Band (SPAN/TAP)
- Потоки Threat Intelligence
- Ежегодное обновление IDS-сигнатур
Тех. сводка
Важные технические данные
- Форм-фактор
- 1U/2U физический + виртуальный вариант
- Выходная мощность
- Модели от 100 Мбит/с до 10 Гбит/с
- Песочница
- On-Board Custom + Cloud Sandbox
- Режим подключения
- SPAN-порт или TAP
- Протоколы
- 100+ (HTTP/S, SMTP, DNS, SMB, RDP и т. д.)
- Пересылка SIEM
- syslog CEF, REST API
СценарииГосорганы Банкинг Энергетика Здравоохранение
Когда выбирать этот продукт?
Мониторинг сети SWIFT
Банк размещает Deep Discovery в сегменте SWIFT и отслеживает известные TTP (тактики, техники и процедуры), нацеленные на SWIFT, в реальном времени.
Обнаружение латерального перемещения OT
Энергетический производитель обнаруживает попытки латерального перемещения на границе IT-OT в течение часов с Deep Discovery.
Предотвращение эксфильтрации данных пациентов
Сеть больниц позволяет Deep Discovery оповещать при крупных шаблонах эксфильтрации данных и эскалировать в команду SOC.
Для кого подходит?
Критическая инфраструктура, государственные учреждения, банкинг и крупные предприятия со зрелыми командами SOC.
Часто задаваемые вопросы
Часто задаваемые вопросы
Работает ли он inline или out-of-band?
Out-of-band. Трафик наблюдается через SPAN-порт или TAP; сетевой поток не прерывается. Поэтому он сфокусирован на обнаружении; для блокировки используется вместе с TippingPoint или NGFW.
Как работает Custom Sandbox?
Мы загружаем ваш gold-образ Windows 10/11 и приложения, которые вы используете (например, SAP GUI, Citrix), в образ песочницы. Подозрительные файлы детонируются против этого образа; APT, обнаруживающие среду, не могут так легко обходить.
Покидает ли трафик дата-центр?
Нет — On-Board песочница работает локально. Если добавляется Cloud Sandbox, подозрительные образцы отправляются в облако (опционально). Организации, чувствительные к 152-ФЗ, остаются в локальном режиме.
Какие протоколы анализируются?
HTTP/HTTPS, SMTP, FTP, SMB, DNS, RDP, Kerberos, LDAP, IMAP, POP3, SNMP, SSH, Telnet, TFTP, VoIP (SIP/RTP), IRC, P2P и более — каталог 100+ протоколов.
Каково влияние на производительность?
Out-of-Band, поэтому нулевое влияние на сетевой трафик. Потребляются только SPAN-порт и CPU/ОЗУ appliance; типичная 2 Гбит/с Deep Discovery appliance занимает 2U.
Работает ли в облачных средах?
Да — Virtual Deep Discovery (DDvI) работает на AWS, Azure и VMware ESXi. Трафик приходит через VPC Mirroring на AWS и vTAP на Azure.
Как он интегрируется с SIEM?
Отправляет данные событий в Splunk, Sentinel, QRadar и Elastic SIEM через syslog CEF, REST API и webhook. Нативная интеграция с Vision One доступна.
Чем отличается от TippingPoint?
TippingPoint — это inline IPS (блокировка). Deep Discovery — это out-of-band NDR (обнаружение). Разные слои; развёртываются вместе.
Какова модель лицензирования?
Оборудование разовое + ежегодная подписка на Threat Intelligence и Sandbox. Оплата — разовая CAPEX + ежегодная OPEX.
Есть ли сопоставление MITRE ATT&CK?
Да. Обнаруженные события помечаются тактикой/техникой MITRE ATT&CK ID. Интерфейс Vision One визуализирует Kill Chain.
Официальная страница продукта производителя
Открывает оригинальную техническую документацию и страницу продукта производителя в новой вкладке.
Trend Micro — Deep Discovery (Network Detection) →Тот же бренд
Trend Micro — другие продукты линейки
Trend Vision One
Платформа на базе ИИ, объединяющая XDR, ASRM и управление киберрисками в единой консоли.
ДеталиApex One
Корпоративная защита конечных точек на базе ИИ (EPP + EDR).
ДеталиWorry-Free Business Security
Облачная защита конечных точек + электронной почты для МСБ.
ДеталиDeep Security / Server & Workload Protection
Гибридная безопасность нагрузок для физических, виртуальных и облачных серверов.
ДеталиСопоставимые решения
Похожие решения других брендов
Deep Discovery (Network Detection) — лицензия + внедрение + поддержка
Sora Yazılım берёт на себя лицензирование, внедрение, обучение и текущее управление — всё в одних руках.