Verwendung von verhaltensbasierter Korrelation

Bedrohungen sind oft über zahlreiche Datenströme verteilt und verwenden unterschiedliche Angriffspunkte. Um mögliche Bedrohungen aufzuspüren, setzt die Korrelation-Engine von Threat Defender aktuelle Datenströme in Beziehung zu historischen Informationen aus früheren Datenströmen.

Threat Defender erweitert die Policy-Sprache, um Kommunikationsereignisse nachzuverfolgen. Das bedeutet, die Korrelation findet innerhalb der Policy-Engine statt. Daten werden in Echtzeit korreliert, d.h. in dem Moment, in dem sie erzeugt werden. Reaktionen erfolgen unverzüglich und werden auf das auslösende Paket angewendet.

Die folgenden Beispiele veranschaulichen die mögliche Verwendung der Korrelation in einer Netzwerkumgebung.

• ARP-Spoofing-Angriffe aufspüren
• Beschränkung des Zugriffs auf bestimmte Websites
• Zeitbasiertes Baselining
• Adaptives, verhaltensbasiertes Graylisting

---

Weitere Informationen:

• Informationen zu verhaltensbasierter Korrelation finden Sie unter Verhaltensbasierte Korrelation unter Grundbegriffe.

• Informationen zu den Einstellungsoptionen von Korrelationsszenarien finden Sie unter Advanced Correlation.