ExtraHop Security所提供的Reveal是一套基植於效能分析之外，還能夠進行多種資安偵測與分析任務的解決方案。Reveal可以在企業內部依據所蒐集到的網路封包內容去做各式各樣的資安行為分析與告警，並且可以與多種現有的資安工具整合，可以說是企業在資安偵防與分析上的重要工具。

Reveal提供多種功能，例如：

即時異常行為偵測 + 快速事件調查

a. Brute Force Detection

b. Privileged User Logins

c. Lateral Movements and Privilege Escalations

d. Unauthorized or Anomalous Connections

e. Database Access (Oracle, MS-SQL, DB2, MySQL, Informix, MongoDB, Postgres, Sybase, Redis):

f. Ransomware Detection & Storage Access (NFS, CIFS/SMB)

g. Web and Webservices Behavior (real-time decryption and analysis of SSL/TLS traffic)

h. Command and Control Behaviors

i. SSH Behavior

j. Data Exfiltration

資安健檢：減少受攻擊的機會

a. TLS/SSL Certificate Expiration Auditing (expiring/expired auditing)

b. SSL Key Length Auditing

c. Outdated SSL Sessions (SSLv3 / TLSv1.0): non-PCI-compliance

d. Weak Cipher Suites (RC4, DES, null, etc.)

e. Vulnerable MDA5/SHA-1 certificate signing

f. SSL traffic by port (auditing traffic that is not encrypted)

g. Unsafe Protocols in the Clear: Unencrypted FTP, Telnet, Gopher, etc.

h. Email Encryption

i. Wild Card Certificates

j. Self-Signed Certificates

k. Long-lived Certificates

l. SMBv1 auditing (susceptible to Ransomware attacks)

可疑流量調查

a. Integrate with external threat intelligence feeds to identify suspicious North/South traffic hitting suspicious hosts (inbound or outbound)

i. Suspicious TCP Connections (Clients or Servers)

ii. Suspicious DNS host query lookups

iii. Suspicious HTTP requests

自動探索、分類與對應

a. Agentless discovery and auto-classification of all critical communications

b. Observational and definitive understanding of network flows and interdependencies

c. Facilitate firewall policies, microsegmentation initiatives

d. Facilitate consolidation or cloud migration initiatives

ExtraHop的Wire Data分析技術被Gartner認為是網路管理與監測的將來，因為它可以不需要儲存過多的網路封包，因此可以節省一般在做網路監測時所需要投入的大筆設備投資，且資料保證在30天以內的都不會被覆蓋，所以不會有交易量大時資料就被覆蓋的問題。

在使用Extrahop的分析能力在資安事件上之後，企業對於內部資訊安全的掌握度可以再度的提高就像是IDC所做的這份調查一樣。

在解決方案的運作方式上面，ExtraHop除了提供一系列的硬體之外，還可以軟體的方式運作，軟體在限制上幾乎是跟硬體一樣，因此企業不需要擔心買軟體會綁手綁腳，功能受限。而在監測的內容資訊方面，除了提供一般網路層級的效能資訊以外，還可以針對多種不同的應用協定提供詳細的資訊，讓IT管理者可以有效的看見IT的運作以及問題的所在。

 對於特殊協定的監測，ExtraHop可以對這些協定解碼並取出有意義的資訊做成數位儀表板。這項能力讓許多的客戶選擇使用ExtraHop，因為當問題發生時，除了要知道網路的資訊之外，管理者更想知道問題發生影響到了哪些使用者。

ExtraHop 可以協助企業管理者迅速的察覺到網路上正在進行的資安事件，無論使用者是屬於公司外部的使用者、商業夥伴或者是自己的員工。透過即時快速的偵測與分析，進而辨識出違反資訊安全政策的行為以及排序出重要的問題以回報管理者做優先的處理，這使得專人專責的問題處理原則得以發揮到極致。

您感到興趣嗎？請電話與我們連繫或電郵