Sophos XDR und Cloud Optix Erkennung von Bedrohungen in der Multicloud

Von Melanie Staudacher

Damit Sicherheitsteams ein Gesamtbild ihrer öffentlichen Cloud-Umgebungen erhalten und Bedrohungen erkennen können, hat Sophos die Lösungen XDR und Cloud Optix aktualisiert. Dafür nutzt der Hersteller die Aktivitätsprotokolle der großen Cloud Provider.

Anbieter zum Thema

Mit XDR und Cloud Optix deckt Sophos für Kunden potenzielle Risiken in Cloud-Umgebungen auf.
Mit XDR und Cloud Optix deckt Sophos für Kunden potenzielle Risiken in Cloud-Umgebungen auf.
(©issaronow - stock.adobe.com)

Sophos hat sowohl die XDR-Lösung (Extended Detection and Response) wie auch die Lösung Cloud Optix, die für das Cloud Security Management entwickelt wurde, erweitert.

Neben den Aktivitätsprotokollen von Amazon Web Services (AWS) fügt der Hersteller der XDR-Plattform auch die Protokolle von Microsoft Azure und Google Cloud Platform (GCP) hinzu. So erhalten IT- und Sicherheitsteams einen umfassenden Überblick über die Sicherheit ihrer Public-Cloud-Umgebungen. Und durch die Integration von Daten aus Cloud Optix ermöglicht der Hersteller die Erkennung, Bewertung und Absicherung von Fehlkonfigurationen und Schwachstellen in den Cloud Workloads und bei Benutzerzugriffen.

Datenquellen für Cloud Optix

Mit den neuen Cloud-Optix-Datenquellen in der XDR-Lösung können Administratoren nun Aktivitäten auf API-, CLI- (Command-line Interface) und Managementkonsolen in AWS-, Azure- und GCP-Umgebungen untersuchen.

Für Cloud Optix selbst, sammelt Sophos Daten aus den eigenen Produkten Intercept X für Server, Sophos Firewall und Sophos E-Mail. Der Hersteller speichert zum einen bis zu 90 Tage lang On-Device-Daten und zum anderen bis zu 30 Tage lang produktübergreifende Daten in seinem Data Lake.

Die Einblicke, die Admins dadurch erhalten, können sie über Sophos Central und über offene Anwendungsprogrammierschnittstellen in weitere Systeme einbinden, zum Beispiel in SIEM- (Security Information and Event Management), SOAR- (Security Orchestration, Automation and Response), PSA- (Professional Service Automation) oder RMM-Systeme (Remote Monitoring and Management).

Die aktualisierte Version von Cloud Optix enthält außerdem eine Reihe von Ergänzungen für eine bessere Cloud-Sicherheitsüberwachung:

  • AWS activity nomalies: Neue Artificial-Intelligence-Modelle (AI) von Sophos analysieren kontinuierlich die Benutzeraktivitätsprotokolle von AWS CloudTrail. Dadurch kann Cloud Optix ein Bild der Aktivitäten einzelner Benutzerrollen erstellen, um sowohl versehentliche Änderungen als auch böswilliges Handeln von kompromittierten Rollen zu identifizieren. Die Funktion bietet eine detaillierte Zeitleistenansicht von CloudTrail-Ereignissen und zeigt risikoreiche Anomalien auf.
  • Multiple Jira integration instances: Administratoren können damit mehrere Jira-Instanzen zu einem Konto in Cloud Optix hinzufügen. Dabei wird jede Cloud-Umgebung mit einer Jira-Instanz verknüpft. Dies kann eine separate Jira-Instanz pro Umgebung oder eine gemeinsame Instanz sein, die von vielen Umgebungen genutzt wird.
  • Azure IAM vizualisation: Damit lassen sich Beziehungen zwischen Rollen, Nutzern und Diensten visualisieren, um die Verwaltung komplexer Rollen und das Identity and Access Management (IAM) für mehrere Azure-Abonnements und Azure AD zu vereinfachen.
  • Custom policy alerts: Sicherheitsteams können benutzerdefinierte Warnmeldungen auf der Grundlage von erweiterten Suchabfragen in Cloud Optix erstellen. Künftige Scans lösen dann in Cloud Optix Warnungen aus, wenn die Kriterien der Abfrage erfüllt sind.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47906815)