Indicators of Compromise-Engine
IOC

Eine auf Indicators of Compromise basierende Erkennungs-Engine zur Generierung von Warnmeldungen über Marker, die mit bekannten Bedrohungen verbunden sind. 

Die IOC-Engine kann so konfiguriert werden, dass sie ausführbare Dateien scannt, sobald sie auf die Festplatte geschrieben werden. 

Die Indicator of Compromise-Engine kann Warnungen unter anderem über generieren: 

IP

Hash

URL

DNS

check

Erweiterte IOCs zur kontinuierlichen Konfrontation von Bedrohungen

Die IOCs können von den Benutzern ergänzt werden, um die Erkennungs- oder Ermittlungsfähigkeiten des EDR je nach Bedarf und Charakter der Bedrohung zu erweitern. 

check

Eine Engine, die sich mit Tools von Drittanbietern verbinden lässt

IOCs haben eine kurze Lebensdauer. Um einen optimalen und kontinuierlichen Schutz zu gewährleisten, muss ein EDR daher problemlos mit Lösungen von Drittanbietern verbunden werden können, um die IOCs zu erweitern und über einen längeren Zeitraum hinweg weiterzuentwickeln. 

Der EDR von HarfangLab lässt sich insbesondere mit Threat-Intelligence-Lösungen wie der OpenCTI IOC-Wissensdatenbank verbinden. 

Dieser Konnektor ermöglicht es insbesondere, IOCs aus OpenCTI in HarfangLab zu integrieren und Security Events und Threats aus HarfangLab abzurufen, um sie in OpenCTI zu integrieren. 

Auf diese Weise können Analysten Daten zentralisieren und Informationen über Bedrohungen und Angreifergruppen strukturieren, um ihr Wissen über den Cyberkontext zu verbessern. 