人工智能對抗DLL劫持：卡巴斯基SIEM的新功能

升級后的卡巴斯基SIEM現(xiàn)已具備人工智能功能，可檢測動態(tài)鏈接庫（DLL）劫持跡象，支持與卡巴斯基數(shù)字足跡情報（DFI）及卡巴斯基托管檢測與響應(yīng)（MDR）的集成，同時提升了儀表盤和報告的處理能力。

根據(jù)最新的卡巴斯基MDR分析師報告，2004年高級持續(xù)性威脅（APT）對四分之一的企業(yè)造成了影響，較2023年激增74%。這些調(diào)查結(jié)果顯示，盡管自動化檢測技術(shù)取得了進步，但持續(xù)性攻擊者仍在不斷利用漏洞并繞過防御系統(tǒng)。為應(yīng)對這些挑戰(zhàn)并提升威脅檢測能力，卡巴斯基升級了其SIEM解決方案，集成多項提升網(wǎng)絡(luò)安全系統(tǒng)整體效能的新功能。

卡巴斯基SIEM平臺能夠收集、聚合、分析并存儲整個IT基礎(chǔ)設(shè)施的日志數(shù)據(jù)，同時提供上下文環(huán)境增強和可操作的威脅情報洞察。在最新更新中，該平臺通過以下功能得到了增強：

增強對DLL劫持的防護能力

合法軟件在運行時會加載大量庫文件，攻擊者可以利用這一點來規(guī)避檢測并執(zhí)行網(wǎng)絡(luò)攻擊。為了應(yīng)對這些威脅，卡巴斯基SIEM新增了基于人工智能的專用子系統(tǒng)，可持續(xù)分析所有已加載庫的信息。當懷疑存在庫文件替換時，系統(tǒng)會自動對事件進行標注，使安全團隊能夠創(chuàng)建事件以進行進一步調(diào)查。用戶只需將DLL劫持增強規(guī)則連接至收集器或關(guān)聯(lián)器，即可啟用此新功能，從而顯著提升系統(tǒng)對潛在庫替換威脅的檢測與響應(yīng)能力。

與數(shù)字足跡情報以及托管檢測與響應(yīng)進行集成

卡巴斯基SIEM現(xiàn)在提供與卡巴斯基數(shù)字足跡情報的無縫集成，使用戶能夠獲取與數(shù)字足跡數(shù)據(jù)相關(guān)的全面分析。該增強功能可及時檢測用戶賬戶和密碼泄露事件，并自動生成警報以便快速響應(yīng)。通過此集成系統(tǒng)識別的事件可以在SIEM系統(tǒng)中進行深入調(diào)查，從而增強整體安全態(tài)勢。

此外，該解決方案現(xiàn)已支持從托管檢測與響應(yīng)（MDR）控制臺自動將事件導(dǎo)入SIEM系統(tǒng)，從而簡化事件處理與分析流程，實現(xiàn)更快速、高效的威脅管理。

改進的行為分析

卡巴斯基SIEM通過集成專用的用戶與實體行為分析（UEBA）規(guī)則集得到進一步強化，該規(guī)則集專門用于全面檢測基于Windows的工作站和服務(wù)器上的身份驗證過程、網(wǎng)絡(luò)活動和進程執(zhí)行中的異常。此項新增功能使卡巴斯基SIEM能夠更有效地分析偏離既定行為模式的可疑活動，從而及時識別高級持續(xù)性威脅（APT）、針對性攻擊和內(nèi)部威脅。

報告功能增強

儀表板和報告模板現(xiàn)在可以在不同的卡巴斯基SIEM部署實例之間共享和遷移，從而促進安全環(huán)境中的無縫協(xié)作和一致性。此功能還允許用戶直接接收卡巴斯基推送的更新，確保安全團隊能夠獲取最新內(nèi)容，以進行全面的組織網(wǎng)絡(luò)安全分析。

此外，新增了數(shù)據(jù)可視化小組件，提供更強大的信息呈現(xiàn)功能。用戶現(xiàn)在可以將數(shù)據(jù)顯示為趨勢，組合多個圖表并說明不同值之間的關(guān)系，從而增強安全洞察的清晰度和有效性。

此外，還新增了一個預(yù)配置小部件，具備創(chuàng)建精細查詢的能力。該功能可與數(shù)據(jù)鉆取功能結(jié)合，允許用戶從一個儀表板導(dǎo)航到另一個預(yù)配置儀表板進行更詳細的分析。

更高的可用性與擴展性

卡巴斯基為其SIEM核心系統(tǒng)引入了基于Raft的分布式架構(gòu)，旨在實現(xiàn)高可用性和韌性。這種方法確保了在高負載下的持續(xù)運行，并允許組織輕松進行橫向擴展。

“在卡巴斯基，我們持續(xù)優(yōu)化SIEM平臺，旨在不斷提升其應(yīng)對復(fù)雜威脅的檢測能力。我們的目標是減輕網(wǎng)絡(luò)安全專業(yè)人員的工作負擔，使他們能夠投入更多時間分析復(fù)雜的網(wǎng)絡(luò)事件和實施預(yù)防措施。通過運用先進人工智能技術(shù)，我們實現(xiàn)了多項流程的自動化，并加快了大量數(shù)據(jù)的分析。這些進步顯著增強了組織的安全性和抵御新興威脅的韌性，”卡巴斯基統(tǒng)一平臺負責人Ilya Markelov評論說。

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示：“在當前復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境下，企業(yè)對高效安全防護的需求日益迫切。此次卡巴斯基 SIEM 的升級，通過 AI 賦能強化 DLL 劫持檢測、深化多產(chǎn)品協(xié)同，優(yōu)化行為分析與可視化能力，為企業(yè)構(gòu)建更智能的安全體系。我們希望借助這些新功能，減輕網(wǎng)絡(luò)安全團隊的工作壓力，讓他們能更專注于核心威脅應(yīng)對，助力企業(yè)提升整體網(wǎng)絡(luò)安全韌性，應(yīng)對各類網(wǎng)絡(luò)安全風險�！�

要了解更多有關(guān)卡巴斯基SIEM的詳情，請訪問這個網(wǎng)站。

關(guān)于卡巴斯基

卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止，卡巴斯基已保護超過十億臺設(shè)備免受新興網(wǎng)絡(luò)威脅和針對性攻擊�？ò退够�不斷將深度威脅情報和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù)，為全球的個人用戶、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府提供安全保護。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個人設(shè)備數(shù)字生活保護、面向企業(yè)的專業(yè)安全產(chǎn)品和服務(wù)，以及用于對抗復(fù)雜且不斷演變的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們?yōu)閿?shù)百萬個人用戶及近20萬企業(yè)客戶守護他們最珍視的數(shù)字資產(chǎn)。要了解更多詳情，請訪問www.kaspersky.com。