Der r-tec Managed Detection and Response Service setzt auf modernste technische Lösungen des Technologieführers Exabeam, die in einem DSGVO-konformen europäischen Rechenzentrum betrieben werden. Die Logdateien Ihres Unternehmens werden dabei mittels eines Site Collectors gesammelt und verschlüsselt an die Analyseplattform übertragen. Der Vorteil: Sie benötigen keine Agents für Ihre Systeme.
Folgende Logs sind für die Angriffserkennung relevant:
- Active Directory
- Endpoints
- Firewalls
- Domain Name Server
- Domain Controller
- VPN
- Cloud-Apps
- Antivirus und Proxy
Logs aus Cloud-Umgebungen wie Microsoft 365 werden direkt über einen Cloud Connector angebunden. Haben Sie bereits ein zentrales Logmanagement oder ein SIEM-System etabliert, können diese direkt an die Analyseplattform angeschlossen werden.
Abweichungen vom Normalverhalten identifizieren
Auf der so erzeugten Datengrundlage führt die Analyseplattform mithilfe von Algorithmen, statistischen Analysen und maschinellem Lernen eine Verhaltensanalyse von Nutzern, Geräten, Eigenschaften, Relationen, Sachverhalten oder Ereignissen durch. So kann ein Normalverhalten identifiziert werden. Zudem lassen sich Beziehungen zwischen Nutzern und Geräten sowie das Gruppenverhalten überprüfen. Das heißt, die Analyse konzentriert sich nicht auf einzelne Logquellen oder verknüpfte Events, sondern auf das Gesamtverhalten Ihres Unternehmens, Ihrer Anwender und Ihrer Geräte. Abweichungen vom Normalverhalten und Muster, die zum Beispiel bei Angriffen oder der Angriffsvorbereitung auftreten können, werden auf diese Weise sofort erkannt.