Access42 SOC Platform
07 augustus 2023
Zoals we hebben aangegeven tijdens onze 2nd Cyber Security Summit op 15 juni jl., werkt Access42 samen met Hunters en maken we gebruik van het platform van Hunters voor onze Security Operations Center.
Hunters SOC platform is ons alternatief voor SIEM en maakt sinds enkele maanden deel uit van het CyberTIM response programma van Access42. Hunters optimaliseert data ingestion, met daar bovenop ingebouwde en altijd up-to-date detection analyse. Hunters biedt Access42 de ruimte om correlatie- en onderzoeksprocessen te automatiseren om zo risico’s en complexiteit te verminderen voor haar klanten.
Het Access42 SOC-platform neemt gegevens op, normaliseert en bewaart deze uit tientallen beveiligings- en IT-tools en past zich aan elke omgeving aan. Onze klanten kunnen kiezen voor een “bring-your-own data lake” implementatiemodel of kunnen gebruik maken van het Access42 model. Hunters ETL (Extract, Transform & Load) en schema mapping mogelijkheden maken het ontwerpen implementeren en onderhouden van ingestion pipelines overbodig. Het SOC platform levert up-to-date detecties die vooraf zijn geverifieerd op echte klantgegevens om false-positive en overmatige waarschuwingen te verwijderen. Vervolgens worden ze direct ingezet bij alle klantomgevingen zonder dat er iets gedaan of aangepast hoeft te worden. Dit verlaagt de blootstelling aan risico’s drastisch en vermindert tegelijkertijd de operationele overhead. De dreigingsdekking van de organisatie wordt automatisch in kaart gebracht in het MITRE ATT&CK framework.
Elke waarschuwing wordt automatisch verrijkt met informatie uit verschillende bronnen (bijv. gebruikersnaam vanuit Crowdstrike met logboekrecords vanuit Okta, IP-adressen met informatie over bedreigingen) en weergegeven aan de analist voor snellere triage en onderzoek, evenals geavanceerde detectie- en scoringsdoeleinden. Het platform clustert ook waarschuwingen met behulp van eigen “gelijksoortige bedreigingslogica”, waardoor tot 90% van de waarschuwingen die dagen en weken in beslag kunnen nemen, minder overbodig wordt.
Waarschuwingen over entiteiten en aanvalsoppervlakken worden automatisch gecorreleerd in een grafiek en verpakt als ‘aanvalsverhalen’, waardoor een contextueel beeld ontstaat van het volledige incident. Deze mogelijkheid benadrukt high-fidelity activiteiten, verbetert de onderzoekstijd en maakt het mogelijk om gebruik te maken van low-fideltity signalen die vaak over het hoofd worden gezien.
Het SOC Platform onderzoekt voortdurend het risiconiveau van elke waarschuwing en kent zowel een risico- als vertrouwensscore toe, zodat Access42 de meest kritieke waarschuwingen voor haar klanten kan prioriteren. Zo krijgen waarschuwingen met betrekking tot gevoelige bedrijfsmiddelen (bijv. c-level, domeinservers, enz.) prioriteit, en wordt het risico voor bekend goedaardig gedrag verlaagd (bijv. een door Microsoft ondertekende binary).
Voor regelgevende doeleinden en ad-hoc onderzoeken levert het SOC Platform van Access42 een IOC-zoekbalk waarmee iedereen in het SOC binnen enkele seconden naar IOC’s kan zoeken en resultaten kan krijgen uit ruwe gegevens zonder dat er een SQL-query geschreven hoeft te worden.
Access42 heeft een select aantal partners waarmee nauw samengewerkt wordt. Deze zijn in onderstaande figuur links weergegeven.
Het figuur geeft weer dat we allereerst door middel van API de data van de security tooling invoeren. Vanuit deze bronnen ontstaan er detecties (L1). Op het moment dat er detecties ontstaan, wordt er automatisch onderzoek gedaan en wordt er vanuit het platform een Attack Story aangemaakt. Vervolgens kan men gelijk acteren en mogelijk mitigerende acties uitzetten.
Onderstaand een voorbeeld van een Attack Story.
Zoals aangegeven, werkt Access42 met een selectief aantal security oplossingen. Het voordeel van het Access42 SOC platform is dat we data kunnen invoeren van verschillende security oplossingen waarbij de klant onafhankelijk is in het gebruik van security oplossingen.
Wil je meer weten over het Access42 SOC? Neem dan contact met ons op: sales@access42.nl