依托加密公司Virtru增强FireEye Helix的电子邮件可见性和DLP感知能力
随着网络安全威胁形势的不断发展以及攻击的日益复杂,安全操作中心(SOC)团队需要将电子邮件和文件保护、共享和访问纳入到与端点和网络活动相关的事件日志中。这些信息可以为企业提供全面的安全情报,帮助企业强化监控工作流程,快速标记事件,追踪其影响,并及时进行补救。
最近,加密公司Virtru和FireEye之间的合作就做到了这一点。对于他们共同的客户,在进出公司环境的过程中,可以获得对敏感电子邮件和文件附件的持续保护、控制和可见性。对SOC团队来说,这意味着在云中创建和共享内容时,他们可以对访问的人、访问的时间地点以及访问时间的长短保持细粒度的可见性。
如何运作?
客户可以使用Virtru Audit Export API将测量数据推送到FireEye Helix安全操作平台。Virtru和FireEye可以共同为客户提供先进的用户行为分析,在这个过程中可以通过设置数据丢失防护(DLP)规则来识别异常的电子邮件使用和可疑或恶意活动,并识破共享敏感数据的人。在数据泄露事件中,或者如果用户凭证受到威胁,Virtru可以立即通过其高级访问控制功能进行访问禁用。
FireEye Helix为Virtru设置了70多条规则,可以生成供SOC分析师进行审核的预警。这些预警都是Virtru客户正常的日常活动,例如:
- 电子邮件/内容访问:撤销或授予访问权限,启用/禁用共享
- 用户行为:失败/成功访问电子邮件/内容,转发电子邮件
- 管理项目:新增/删除管理员,创建新的API令牌,新增/删除用户
- 政策信息:新增/更新/删除政策或DLP规则,违规政策信息
FireEye Helix中有五个Virtru仪表盘,在可视化环境中可以对正在发生的事件进行预警:电子邮件信息、电子邮件高级控制使用、企业级事件、用户事件和用户激活。(参见图1)。
这些仪表盘使得SOC分析师可以快速查看关键信息并采取行动。(参见图2)。
FireEye Helix中的Virtru预警
FireEye Helix中的Virtru仪表盘