Что такое Flarehawk?

Flarehawk — это передовое решение для мониторинга безопасности, разработанное для обеспечения постоянной видимости и автоматизированного реагирования на все компоненты вашего стека безопасности Cloudflare, включая HTTP-трафик, активность межсетевого экрана веб-приложений (WAF), идентификаторы Zero Trust и изменения в административной панели. Находясь в открытой бета-версии, Flarehawk устраняет необходимость в выделенном центре операций по безопасности (SOC), автоматически расследуя угрозы, объясняя их контекст и предлагая действенные шаги по устранению угроз в один клик.

В основе Flarehawk лежит запатентованная технология Flarehawk Fabric — механизм машинного обучения, который создает уникальную поведенческую модель, специфичную для журналов и шаблонов вашей организации. Это адаптивное обучение гарантирует высокую релевантность обнаружений, минимизирует ложные срабатывания и фокусирует внимание вашей команды только на реальных угрозах. Платформа преобразует необработанные данные журналов в понятные выводы в форме повествования, гарантируя, что команды безопасности точно знают, что произошло, почему это важно и какие точные шаги необходимы для решения проблемы.

Ключевые возможности

• Автоматизированное обнаружение и расследование угроз: Постоянный мониторинг действий HTTP, WAF, Zero Trust и административных действий. Каждое обнаружение сопровождается мгновенным и ясным объяснением события и его значимости.
• Устранение угроз в один клик: Предоставляет проверенные предложения по устранению угроз (например, блокировка IP-адресов, ужесточение доступа), которые могут быть применены немедленно с одобрения пользователя, что резко сокращает время реагирования.
• Flarehawk Aegis (Ко-пилот по инцидентам): AI-помощник, который переводит сложные оповещения на простой язык, связывает разрозненные обнаружения в среде безопасности, выявляет долгосрочные шаблоны атак и генерирует понятные отчеты для руководства и аудиторов.
• Хранение журналов в течение 5 лет (Тарифы Enterprise/Complete): Собранные журналы хранятся до пяти лет, доступны для запросов через SQL и могут быть экспортированы для соблюдения строгих требований соответствия, таких как ISO 27001, SOC 2 и PCI DSS.
• Поведенческое моделирование (Flarehawk Fabric): Использует машинное обучение для создания базовой модели нормального поведения, уникальной для вашей среды, что со временем повышает точность обнаружения.
• Гибкие уведомления: Мгновенно доставляет оповещения по электронной почте, Slack или через Webhook, обеспечивая быстрое информирование.
• Широкая совместимость (Скоро): Хотя в настоящее время основное внимание уделяется Cloudflare, будущие расширения включают интеграцию с Microsoft 365, Google Workspace, Okta и другими.

Как использовать Flarehawk

Начало работы с Flarehawk включает в себя простой процесс, разработанный для быстрого развертывания и немедленной ценности:

1. Регистрация и настройка: Выберите соответствующий тариф (Basic, Complete или Enterprise) и зарегистрируйтесь. Первоначальная настройка фокусируется на подключении ваших источников данных безопасности Cloudflare.
2. Фаза обучения Fabric: После подключения Flarehawk Fabric начинает принимать журналы и устанавливать базовую поведенческую модель, уникальную для вашей организации. Этот этап позволяет механизму машинного обучения изучить ваши нормальные рабочие шаблоны.
3. Мониторинг в реальном времени и сортировка: Flarehawk постоянно отслеживает все настроенные потоки данных. При обнаружении отклонения или угрозы немедленно отправляется оповещение через выбранный вами канал (Slack/Email).
4. Расследование и устранение: Просмотрите оповещение, которое включает объяснение события на простом языке от Aegis. Если требуется исправление, просмотрите предложенный шаг по устранению и одобрите его одним щелчком мыши. Flarehawk берет на себя развертывание исправления в вашей конфигурации Cloudflare.
5. Соответствие требованиям и отчетность: Используйте функцию долгосрочного хранения журналов для выполнения сложных SQL-запросов для аудита или создания отчетов о соответствии непосредственно через платформу.

Сценарии использования

1. Малый и средний бизнес (МСБ) без SOC: МСБ, которые не могут позволить себе круглосуточную команду безопасности, могут использовать возможности Flarehawk по автоматизированному расследованию и реагированию в один клик для поддержания уровня безопасности корпоративного класса без постоянного штата сотрудников.
2. Оптимизация и настройка правил WAF: Инженеры по безопасности могут использовать Flarehawk для мониторинга активности WAF, выявления ложных срабатываний и использования исправлений, предлагаемых ИИ, для быстрого ужесточения правил WAF против новых векторов атак, обеспечивая высокую доступность при блокировке вредоносного трафика.
3. Подготовка к аудиту и соответствию требованиям: Организации, которым необходимо соблюдать строгие нормативные рамки (такие как PCI DSS или SOC 2), могут полагаться на функцию хранения журналов в течение 5 лет с возможностью запроса для предоставления исчерпывающих, легкодоступных доказательств во время внутренних или внешних аудитов.
4. Проверка политик Zero Trust: Команды, управляющие Cloudflare Zero Trust, могут отслеживать события идентификации и доступа в реальном времени. Flarehawk связывает подозрительные попытки входа или изменения шаблонов доступа с более широкими угрозами HTTP, предоставляя целостный контекст, который упускают изолированные инструменты.
5. Отчетность для руководства: Руководители служб безопасности могут использовать ко-пилот Aegis для создания кратких, нетехнических отчетов, объясняющих основные инциденты безопасности, демонстрирующих рентабельность инвестиций в безопасность и обосновывающих распределение ресурсов нетехническим заинтересованным сторонам.

Часто задаваемые вопросы

В: С какими платформами безопасности Flarehawk интегрируется изначально? О: Flarehawk создан специально для мониторинга и защиты экосистемы Cloudflare, включая HTTP-трафик, WAF и сервисы Zero Trust. Планируются будущие расширения для Microsoft 365, Google Workspace и Okta.

В: Как обрабатывается хранение журналов и каковы затраты? О: Хранение журналов зависит от тарифа. Basic включает 30 дней. Complete включает 1 год. Enterprise предлагает настраиваемое хранение. При превышении включенного ежемесячного объема журналов взимается дополнительная плата (например, $2.50/M за Basic).

В: Требуется ли вмешательство человека для действий по устранению угроз? О: Нет, вмешательство человека строго не требуется, но рекомендуется для проверки. Flarehawk предоставляет проверенное предложение по устранению, и исправление развертывается мгновенно с вашего одобрения через систему уведомлений.

В: Что произойдет, если я превышу включенный объем журналов? О: Если вы превысите включенное ежемесячное количество журналов (например, 100 млн для Basic), взимается дополнительная плата в зависимости от выбранного тарифа. Это обеспечивает непрерывный мониторинг даже во время событий безопасности с высокой нагрузкой.

В: Поскольку это открытая бета-версия, есть ли какие-либо гарантии или поддержка? О: Flarehawk в настоящее время находится в открытой бета-версии. Однако они предлагают 30-дневную гарантию возврата денег и возможность отмены в любое время. Тарифы Enterprise включают выделенную поддержку.