Az elemzés 20 reprezentatív gyártót jelölt meg az NDR szegmensben. A Gartner kiemeli, hogy az ExtraHop Reveal(x) a gyártó NDR-platformja, amelynek az analitikai és menedzsment eszközei szoftveralapú szolgáltatásként (SaaS), illetve fizikai vagy virtuális eszközkön is elérhetők.

Az ExtraHop Reveal(x) adatokat gyűjt a saját rendszereiből, harmadik fél infrastruktúrájából vagy a csomagláthatósági API-ikból. A Reveal(x) többféle észlelési technikát kombinál, beleértve a szignatúrákat és a heurisztikákat. Felhős gépi tanulást és statisztikai elemzést is biztosít; ezek aggregált és anonimizált eseményeken alapulnak. Az ExtraHop választhatóan kínálja a titkosítás feloldását és a teljes csomagrögzítést (a tárolást akár lokálisan is). Ezek az adatcsomagok aztán közvetlenül a metaadatok keresőmotorjából ("Records view") navigálhatók. Az automatizált válaszadáshoz az ExtraHop különféle UEM, SIEM és SOAR gyártókkal integrálódik.

A Gartner a piaci kitekintésben felsorol néhány ajánlást, amelyeket az IT-biztonsági döntéshozóknak érdemes megfontolniuk egy NDR rendszer beüzemelése során:

A meglévő észlelési megoldásoknak illeszkedniük kell az NDR-eszközökhöz az abnormális viselkedés hatékony észlelése érdekében, amivel a behatolás utáni vizsgálat és válaszadás is eredményesebb lesz.

Szükséges azonosítani a hiányosságokat a meglévő észlelési és válaszadási gyakorlatokban annak eldöntéséhez, hogy a bevezetendő NDR rendszer által észlelt anomáliák orvosolják-e a legsürgetőbb hiányosságokat.

Az NDR-gyártókat egzakt mérőszámok alapján kell kiértékelni, különös tekintettel arra, hogy ezek az eszközök mennyire hatékonyan észlelik a fenyegetéseket, illetve az automatizált válaszadás milyen mértékben tehermentesíti a biztonsági műveleti központokat (SOC).

Forrás

Market Guide for Network Detection and Response