競合
分析

ExtraHop vs. Darktrace

ExtraHop Reveal(x)のネットワークでの検知と対応(NDR)は競合製品をはるかに凌駕し、他のツールが見逃す高度な脅威も検知して対応します。復号、フォレンジックレベルのワークフロー、高精度なレコードの長期保存により、Reveal(x)は他を圧倒します。脅威ハンティングやレトロスペクティブ調査のために履歴データ・キャプチャを取得すると、現在と将来にわたり、何が起こっていて、どのように防御すべきかを理解するのに役立ちます。

続いて競合製品であるDarktraceとの比較をご覧ください。

  • 調査と
    対応
  • エンタープライズの
    スケールとスピード
  • 可視化と
    復号
  • ハイブリッド、クラウド、
    SaaS
  • 侵害の
    タイムライン

調査と対応

検知を実行するだけでは十分ではありません。コンテキストを考慮し、実行した検知をネットワークで発生している他のすべての事象と相関させる必要があります。ネットワーク上のアクティビティを調査し、過去に遡って脅威ハンティングするために必要な詳しいデータをお持ちですか。

検知

ExtraHop Logo

完全なストリーム再構築、70以上のプロトコルの分析、復号、およびクラウドベースの機械学習で強化された全資産に対する検知と、少ない誤検知

Darktrace Logo

資産全体にわたる検知を提供するが、オンボックスでの機械学習に限定され、復号、完全なプロトコル分析、ストリーム再構築の機能はない

Why It Matters

SUNBURST攻撃やKerberosゴールデン・チケット攻撃といった高度な脅威を検知するには、全資産をすべてのプロトコルにわたって検知する機能と復号機能がきわめて重要です。クラウドベースの機械学習であれば、大量の複雑なデータセットを処理して最新の攻撃を確実に検知できます。

調査と脅威ハンティング

ExtraHop Logo

すべてのネットワーク・アクティビティのリアルタイム・データと履歴データ

Darktrace Logo

履歴データは検知主導型の調査に限定される

Why It Matters

「最新の攻撃で影響を受けるか」という疑問に答えるには、観測データをすべて利用してコンテキストを理解したうえで、詳細な履歴データを使ってプロアクティブな調査とレトロスペクティブな脅威ハンティングを行う必要があります。

統合コンソール:NetOps + SecOps + CloudOps

ExtraHop Logo

ネットワーク、クラウド、セキュリティの運用状況を示す統合コンソール

Darktrace Logo

NetOpsには非対応。セキュリティ関連データとユース・ケースのみの単一のコンソール

Why It Matters

信頼できる単一の情報源はサイロの解消に役立つとともに、セキュリティ、パフォーマンス、クラウド、ハイジーンのユース・ケースに対してより迅速に解決策を提供できます。これにより、効率の向上と対応時間の短縮が実現され、ツールセットを簡素化する機会が得られます。

完全な継続的パケット・キャプチャ(PCAP)

ExtraHop Logo

常時オンの継続的PCAP

Darktrace Logo

高精度のPCAP

Why It Matters

常時オンの継続的PCAPにより、必要なパケットに確実にアクセスできます。高精度のPCAPに依拠していると、インシデントの重大度を把握するために不可欠な詳細を見落とすおそれがあります。

エンタープライズのスケーラビリティとリアルタイムの分析

企業のニーズに合わせてスケールするには、ハイブリッド環境全体で通信しているすべての資産を監視することにより、ネットワーク・トラフィックを分析してリアルタイムの洞察を提供する必要があります。Reveal(x) NDRは、クラウドを利用することで絶えずネットワークの要求に適応し、セキュリティ・チームが脅威への対応に必要なデータに瞬時にアクセスできるようにします。

スケール:センサあたりの未処理のスループット

ExtraHop Logo

最大100 Gbps

Darktrace Logo

最大5 Gbps

Why It Matters

未処理のスループットは、監視のスケールを決定する唯一の要因ではありませんが、重要な要素です。スループットが高ければ、組織のニーズの拡大に合わせてスケールする場合の費用対効果が保証されます。

スケール:IP監視

ExtraHop Logo

最大100万資産

Darktrace Logo

最大5万資産

Why It Matters

数百万個の資産にまでスケールできるため、単一の調査コンソールで資産全体のアクティビティをすばやく確実に相関させることができ、データが散り散りになることがありません。これは脅威ハンティングにとって非常に重要な機能です。

スケール:機械学習

ExtraHop Logo

クラウドベースの機械学習

Darktrace Logo

アプライアンスベースの機械学習

Why It Matters

クラウドベースのMLであるため、最新の検知機能を即座に利用できると同時にオンデマンドでスケールできます。そのため、検知し損ねることがありません。アプライアンスベースのMLはシステム・リソースによる制限を受けます。

可視化と復号

可視化には、ネットワークに接続されているすべての資産とその機能の全体像が必要です。このような課題があるため、暗号化の採用が急速に進んだことと合わせて、業界全体でアナリストの作業が妨げられています。Reveal(x)がセキュリティ・チームに提供するのは、復号機能によって強化された完全な可視性であり、PFSを使用したTLS 1.3もその対象です(この機能はExtraHopの競合製品にはありません)。これにより、ハイブリッド・ネットワーク上で通信する資産(IoTを含む)、アプリケーション、ユーザをすべて可視化できます。脅威を検知するには復号が必要です。特に最も高度な脅威を発見する場合には必須です。

復号に関心がある場合は、ExtraHopの仕組みをご確認ください。

復号と暗号化トラフィック分析(ETA)

ExtraHop Logo

ETA + アウトオブバンドのラインレートの復号(TLS 1.3まで)

Darktrace Logo

ETAのみ

Why It Matters

TLS 1.3の普及に伴い、SQLインジェクションクロスサイト・スクリプティング、SSRF、Kerberosゴールデン・チケット攻撃のような脅威を捕捉するには、トラフィックの復号がますます必要になっています。

資産の分類

ExtraHop Logo

IoTを含む包括的な資産インベントリとロールベースの分類

Darktrace Logo

IPアドレスベースの資産インベントリで、資産分類機能なし

Why It Matters

必要なコンテキストを提供するには、資産の役割を分類する必要があります。こうすることで、観測された動作が想定される動作から逸脱しているかどうかを、資産の目的の機能を考慮しながらすばやく判断できます。たとえば、DNS、VOIP、AD、SQL、IoTなどです。

履歴の遡及

ExtraHop Logo

最大90日のカスタマイズ可能な履歴データ

Darktrace Logo

制限あり。履歴データは検知の発生時にのみ保持される

Why It Matters

SUNBURSTのような高度な攻撃の影響を受けるかどうかを把握するには、最大限の履歴データが必要です。履歴データは検知にリンクされている場合もあれば、リンクされていない場合もあります。

ハイブリッド、マルチクラウド、SaaS

現代の企業にはクラウドネイティブのセキュリティと柔軟なデプロイメント・モデルが不可欠です。Reveal(x)は、AWSの専門知識を活かして摩擦のないオンデマンドのデプロイメントを提供し、クラウド環境を保護します。

AWSコンピテンシー

ExtraHop Logo

AWSセキュリティ・コンピテンシーあり

Darktrace Logo

AWSセキュリティ・コンピテンシーなし

Why It Matters

AWSセキュリティ・コンピテンシーは、クラウドに関する深い技術知識を備えていて、初期移行から継続的な日常管理までクラウド・トランスフォーメーションのあらゆる段階を保護することにおいて、お客様を成功に導く実績があることを証明するものです。

クラウド・スループット

ExtraHop Logo

最大25 Gbps

Darktrace Logo

最大5 Gbps

Why It Matters

未処理のスループットは、監視のスケールを決定する唯一の要因ではありませんが、重要な要素です。スループットが高ければ、ビジネスの成長に合わせてスケールする場合に費用対効果が保証されます。

SaaS型のデータ・ストレージ

ExtraHop Logo

クラウドでホストおよび管理される履歴データ

Darktrace Logo

なし。履歴ストレージ・オプションなし

Why It Matters

SaaS型のストレージであるため、履歴データを確実に利用でき、調査、脅威ハンティング、およびコンプライアンスの要件を満たすことができます。

Timeline of a Breach

ExtraHop tells the whole story. No plot holes.

ExtraHop vs. Darktrace

Client attempts and fails DB login several times

Rare client attempts and fails DB login several times*

Unusual amount of SQL traffic between a DB and rare client

Client successfully logs into DB

Client logs into DB and receives confirmation from the DB

No packet data

Client requests info from DB using "select" command

Client requests info from DB using "select" command

No packet data

DB responds in the affirmative & begins delivering data

DB responds in the affirmative & begins delivering data

No packet data

Client issues "drop" command against DB audit table

Client issues "drop" command against DB audit table

No packet data

DB responds in the affirmative

DB responds in the affirmative

No packet data

Client initiates large data transfer to external host

Client initiates large data transfer to external host

Unusual volume of data transfer between client and rare external host

*That first alert from ExtraHop provides enough info to justify quarantining the device in question and launching a full investigation. But if the worst should happen, full attack chain visibility puts you in the best position to eliminate the threat.