Bakanlık ağında APT tespiti
Bir bakanlık, Deep Discovery ile devlet destekli aktörlerin DNS tunneling üzerinden veri çıkardığını tespit edip engelledi.
Trend Micro · Siber Güvenlik
Deep Discovery (Network Detection)
Hedefli saldırı ve APT tespitine yönelik ağ analitik platformu.
Kısa cevap
Trend Deep Discovery, kurumsal ağ trafiğini gerçek zamanlı analiz ederek hedefli saldırı (APT), lateral movement ve veri sızdırma denemelerini özel sandbox ve protokol derin incelemesi ile tespit eden NDR (Network Detection and Response) çözümüdür.
Deep Discovery Inspector (DDI), kurumsal ağa SPAN/TAP yoluyla bağlanan ve out-of-band çalışan bir NDR cihazıdır. 100+ protokolü derinlemesine analiz eder; bilinen ve bilinmeyen tehditleri tespit eder.
Custom Sandbox bileşeni, kurum imajını (Windows 10/11 + kurumsal yazılımlar) sandbox'ta çalıştırarak kuruma özel hedefli saldırıları tespit eder. Standart bulut sandbox'lara karşı APT'ler hedef ortamı tanıdığında patlamayabilir; kuruma özel imaj bu kaçamağı kapatır.
Vision One XDR'a NDR sensörü olarak telemetri besler; ağ olayları uç nokta + e-posta + kimlik olayları ile korelasyona girer. Lateral movement tespiti için kritik bir bileşendir.
Öne çıkan özellikler
Ne sunar?
- Özel sandbox (custom sandboxing)
- Lateral movement ve C&C tespiti
- 100+ protokol derin inceleme
- SIEM ve SOAR entegrasyonu
- Vision One NDR bileşeni
- Out-of-band (SPAN/TAP) çalışma
- Threat intelligence akışları
- Yıllık IDS imza güncellemesi
Teknik Özet
Önemli teknik veriler
- Form faktör
- 1U/2U fiziksel + sanal seçenek
- Çıktı kapasitesi
- 100 Mbps → 10 Gbps modeller
- Sandbox
- On-board custom + Cloud Sandbox
- Bağlantı modu
- SPAN port veya TAP
- Protokol
- 100+ (HTTP/S, SMTP, DNS, SMB, RDP, vd.)
- SIEM forwarding
- syslog CEF, REST API
Kullanım SenaryolarıKamu Bankacılık Enerji Sağlık
Bu ürünü hangi senaryolarda tercih edersiniz?
SWIFT ağı izleme
Bir banka, SWIFT segmentine Deep Discovery koyarak SWIFT'e yönelik bilinen TTP'leri (taktik, teknik, prosedür) gerçek zamanlı izliyor.
OT ağında lateral movement
Bir enerji üreticisi, IT-OT sınırında Deep Discovery ile lateral movement girişimlerini saatler içinde tespit ediyor.
Hasta veri sızıntısı engelleme
Bir hastane zinciri, Deep Discovery exfiltration imzaları ile büyük hacimli veri çıkışını alarm üreterek SOC ekibine bildiriyor.
Kimler için uygundur?
Kritik altyapı, kamu, banka ve büyük kurumlar; olgun SOC ekibi olanlar.
Sıkça Sorulan Sorular
Sıkça sorulan sorular
Inline mı out-of-band mı çalışır?
Out-of-band. Trafiği SPAN port veya TAP üzerinden gözlemler; ağ akışını kesmez. Bu nedenle tespit odaklıdır; engelleme için TippingPoint veya NGFW ile birlikte kullanılır.
Custom sandbox nasıl çalışır?
Kurumunuzun Windows 10/11 altın imajını (golden image) ve kullandığınız uygulamaları (örn. SAP GUI, Citrix) sandbox imajına yükleriz. Şüpheli dosya geldiğinde bu imaj üzerinde patlatılır; APT'lerin tanıdığı ortam olduğu için davranış gerçekçi olur.
Veri merkezi dışına trafik göndermez mi?
Hayır, on-board sandbox local'de çalışır. Cloud Sandbox eklenirse şüpheli örnekler buluta gönderilir (opsiyonel). KVKK'ya hassas kurumlar local-only modunda kalır.
Hangi protokoller analiz ediliyor?
HTTP/HTTPS, SMTP, FTP, SMB, DNS, RDP, Kerberos, LDAP, IMAP, POP3, SNMP, SSH, Telnet, TFTP, VoIP (SIP/RTP), IRC, P2P ve daha fazlası. 100+ protokol kataloğu vardır.
Performansa etkisi olur mu?
Out-of-band olduğu için ağ trafiğine sıfır etki. Yalnızca SPAN port ve cihaz CPU/RAM tüketir; tipik 2 Gbps Deep Discovery cihazı 2U rack kaplar.
Bulut ortamlarında çalışır mı?
AWS, Azure ve VMware ESXi üzerinde sanal Deep Discovery (DDvI) çalışabilir. AWS'de VPC Mirroring, Azure'da vTAP üzerinden trafik alınır.
SIEM'e nasıl entegre olur?
Syslog CEF, REST API ve Webhook üzerinden Splunk, Sentinel, QRadar, Elastic SIEM'e olay verisi gönderir. Vision One'a doğal entegrasyon vardır.
TippingPoint ile farkı nedir?
TippingPoint inline IPS (engelleme). Deep Discovery out-of-band NDR (tespit). İkisi farklı katmanlar; birlikte kullanılır.
Lisanslama modeli nedir?
Donanım bir kerelik + yıllık tehdit istihbaratı ve sandbox abonelik. Ödeme tek seferlik CAPEX + yıllık OPEX şeklindedir.
MITRE ATT&CK eşleştirmesi var mı?
Evet. Tespit edilen olaylar MITRE ATT&CK taktik/teknik kodları ile etiketlenir. Vision One arayüzünde saldırı zinciri (kill chain) görsel olarak gösterilir.
Üreticinin resmi ürün sayfası
Üreticinin orijinal teknik dokümantasyonu ve ürün sayfasına yönlendirir (yeni sekmede açılır).
Trend Micro — Deep Discovery (Network Detection) →Aynı markada
Trend Micro ailesindeki diğer ürünler
Trend Vision One
XDR, ASRM ve siber risk yönetimini tek konsolda birleştiren AI tabanlı platform.
DetayApex One
Yapay zekâ destekli kurumsal uç nokta koruma (EPP + EDR).
DetayWorry-Free Business Security
KOBİ'ler için bulut tabanlı uç nokta + e-posta koruması.
DetayDeep Security / Server & Workload Protection
Fiziksel, sanal ve bulut sunucular için hibrit iş yükü güvenliği.
DetayKarşılaştırılabilir Çözümler
Farklı markalarda benzer çözümler
Deep Discovery (Network Detection) lisans + kurulum + destek
Sora Yazılım olarak lisanslama, devreye alma, eğitim ve sürekli yönetim hizmetlerini tek elden sağlıyoruz.