Trellix, 2022 yılında FireEye ve McAfee güvenlik şirketlerinin güçlerini birleştirerek tek bir isimle yola çıkmasıyla ortaya çıkan siber güvenlik şirketidir.
Trellix, 2022 yılında FireEye ve McAfee güvenlik şirketlerinin güçlerini birleştirerek tek bir isimle yola çıkmasıyla ortaya çıkan siber güvenlik şirketidir. Sektörde lider APT (gelişmiş ve hedef odaklı tehditler) koruması ile öne çıkan FireEye ve yıllardan beri endpoint (uç nokta) güvenliğinde fark yaratan McAfee, şimdi ürünlerini ve platformlarını tek bir Trellix XDR platformunda birleştirerek merkezi yönetimi ile en kapsamlı ve doğal entegrasyonu hedeflemektedir. Tehdit oluşabilecek bütün vektörlerde koruma sağlayan ürün bulundurmasıyla tek başına XDR mimarisini gerçekleştirebilen tek firma konumundadır.
Trellix çatısı altında, alanında öncü iki firmanın en iyi çözümlerini ve yeteneklerini biraraya getirerek; gelişmiş algılama, müdahale ve iyileştirme ile tüm kuruluşların yerleşik bir güvenliğe sahip olmasını sağlamak için yeni ve bütünleşik bir yaklaşım sunmaktadır.
Trellix XDR, çeşitli ve büyük ölçekli sensör ağı aracılığıyla geliştirilen tehdit istihbaratı özelliğini kullanarak kurumların dijital deneyimlerini siber tehditlere karşı güvence altına alan eşsiz bir yeteneğe sahiptir. Kamu ve özel sektör kullanıcılarının veri tabanları özelinde bir milyardan fazla sensörden gelen tehdit istihbaratına dayalı makine öğrenimi ve gelişmiş telemetriden yararlanan yapay zeka, sürekli olarak yeni çözümler sunar. Siber güvenlik için açık, birlikte çalışabilir bir platform sunarak kurumların operasyonlarını korumak için ihtiyaç duydukları teknolojileri uygulamalarına olanak sağlar.
Geleneksel antivirüs çözümünü modern antivirüs modülleriyle birleştirerek üst düzey koruma sağlayan Trellix Endpoint Security, diğer Trellix ürünlerinin de yönetiminin yapıldığı Trellix ePO (Trellix Epolicy Orchestrator) üzerinden yönetilir. ePO sayesinde sağlanan merkezi yönetim ile ortamdaki görünürlük ve koruma üst düzeyde gerçekleştirilir. Windows, MacOS ve Linux işletim sistemine sahip kişisel bilgisayarları ve sunucuları desteklemesi sayesinde ortamdaki bütün cihazlar için tek bir çözüm olanağı sunar. Makine öğrenmesi sayesinde zero-day (sıfırıncı gün) saldırılarını gerçek zamanlı tespit ederek engellenmesini sağlar. Aynı zamanda davranış analizi yaparak gelecekteki tehditler için otomatik öğrenme sağlar. Trellix ENS, yaptığı cihazlarda yaptığı taramalarda, çalışan uygulamaları ve servisleri öğrenerek tekrar tekrar tarama yerine güvenme politikası izler. Bu sayede CPU kaynaklarını minimum seviyede kullanır.
Trellix Endpoint Detection and Response (EDR) ortamdaki cihazlarda olup biten zararlı davranışları tespit eder ve bunları engeller. Trellix EDR ile bu cihazlarda uzaktan prosesleri durdurabilir, engelleyebilir ve bu proseslerin hangi cihazlarda çalıştığını sorgulayabilmenize olanak sağlar. Trellix EDR, Mitre [email protected] frameworkünden ve SANS gibi araştırma merkezlerinden aldığı istihbaratlarla saldırı analizlerini gerçekleştirerek buralarda bulunan bütün saldırgan davranışların ortamınızda gerçekleşip gerçekleşmediğini kontrol eder. Saldırı zincirlerine uyan bir davranış zinciri belirlerse bunun anında engellemesini yapar ve sizin daha detaylı araştırma ve katılaştırma yapabilmeniz için referans kaynak gösterir. Olay özelinde paylaştığı referans kaynaklar ve yaptığı yönlendirmeyle analistlerin sürekli öğrenmesine ve yeteneklerini geliştirmesine olanak tanır. Trellix EDR da diğer birçok Trellix ürünü gibi Trellix ePO üzerinden kullanıcıların cihazlarına yüklenir fakat Trellix EDR olay incelemesi ve aksiyon alınması için SaaS (hizmet olarak yazılım) hizmet alınan ayrı bir arayüz kullanır.
Trellix Application Control and Change Control, izin verilmeyen uygulamaların çalışmasını engelleyerek bilinmeyen saldırılara karşı koruma sağlar. Doğrudan bir whitelisting (beyaz listeye alma) ile bloklama moduna geçmektense politika keşfi sayesinde dinamik ortam incelemesi yaparak kolayca politika belirlenmesine ve ortamın tanınmasına imkân sağlar. Bu sayede bilinmeyen hiçbir uygulama ortamda çalışamaz. Trellix Change Control ve Integrity Control ile belirlediğiniz politikaya göre kullanıcı profilleri oluşturarak bu profillere uymayan dosya değişiklerini engeller veya yapılan değişikler hakkında bilgi sağlar. Bu modüller ayrıca envanter araması yapabilir ve ortamda bulunan zafiyetleri giderebilir. Trellix Application Control and Change Control çözümü de diğer birçok Trellix çözümü gibi Trellix ePO (Epolicy Orchestration) üzerinden yönetilir.
Trellix File and Removable Media Protection(FRP) ile dosya, USB ve cihaz harddiskleri şifrelenebilir. Trellix FRP çözümü, diğer birçok Trellix çözümünde olduğu gibi Trellix ePO(Epolicy Orchestrator) üzerinden yönetilir. Dosya şifrelemeyle paylaşım klasörleri ve kullanıcı cihazlarınızdaki dosyalar şifrelenebilir, belirli kişilere anahtar atayarak bir erişim kontrolü sağlanabilir. USB şifrelemeyle, USB’lerin belirlenen bir bölümü şifrelenebilir bu sayede hem şifreli hem şifrelenmemiş alanlar oluşturulabilir. Yine aynı şekilde belirli kişilere ya da gruplara anahtar atayarak sadece onların erişimine açılabilir. Trellix FRP içerisindeki Trellix Drive Encryption sayesinde bilgisayarların çalınması durumunda yetkisiz kişilerin verilere erişimi engellenebilir. Preboot (boot öncesi) şifreleme sayesinde Drive Encryption, disk başka bir işletim sistemiyle açılsa ya da başka bir cihaza takılsa dahi BIOS seviyesinde yaptığı şifrelemeyle verilere erişilmesini engeller. Trellix Drive Encryption içerisindeki Cold Boot Attack korumasıyla, uyku halinde ya da boşta bekleyen bilgisayarlardan özelleştirilmiş USB’ler ile şifreleme anahtarı verisi çekme saldırısına karşı koruma sağlar. Ayrıca Drive Encryption ürünü cihazların hangi günler açılabileceğinin belirlenmesine imkân sağlar.
Trellix ESM (Enterprise Security Manager), SIEM çözümünün çekirdek modülüdür. ESM ve diğer Trellix SIEM bileşenleri ortama kolayca deploy edilerek kullanıma hazır hale getirilir. Trellix SIEM bileşenleri her bir bileşen ayrı birer makine şeklinde ya da combo-box olarak tek bir makine olarak kullanılabilir. Trellix SIEM ile gerçek zamanlı ya da geçmişe yönelik korelasyonlar yapılabilir. Kullanımı kolay arayüzü ve kompakt çalışan bileşenleri ile ortamda olup biten bütün olayları takip eder. Bu olaylar için alarmlar oluşturulmasına imkan sağlar. Ayrıca birbirleriyle bağlantılı olaylar korele edilerek ortamda üst düzey görünürlük ve koruma sağlanır. Trellix SIEM, Trellix’in global tehdit istihbarat merkezi olan GTI’dan da yararlanarak risk bazlı korelasyon oluşturma imkânı sağlamasıyla piyasadaki diğer SIEM çözümlerinden ayrılır.
Trellix Data Loss Prevention (DLP) içerisinde kendi sınıflandırma ürününü barındırır. Diğer birçok Trellix ürününde olduğu gibi Trellix DLP de Trellix ePO (Epolicy Orchestrator) ile yönetilir. Otomatik ve manuel veri sınıflandırması seçenekleriyle hassas veriler belirlendikten sonra, bu verilerin ortamın dışına çıkması engellenebilir, oluşan olaylar loglanabilir ve kullanıcıların cihazlarında olay anında otomatik çıkarılan uyarı metinleriyle birlikte hem bir güvenlik farkındalığı hem de dolaylı bir eğitim verilmesi sağlanır. Metin bazlı dosyalar için Reg-Ex, sözlük oluşturma, kelime ve şablon tanımlamalarından yararlanılabilir, bu tanımlamaları birlikte kullanılarak false-positive sonuçlar sıfıra kadar indirgenebilir. Ayrıca fingerprinting (parmak izi alma) bazlı otomatik sınıflandırma ile uygulama, web uygulaması ve paylaşım klasörleri için her türden dosyanın sınıflandırması yapılarak korunması sağlanır. Trellix Network DLP ile lokal ağ üzerindeki ağ paketleri içerisine bakılarak kurum için değerli verilerin korunması sağlanır. Trellix DLP Discover ile veri sunucularınızdaki verilerin keşfi yapılarak değerli verilerle ilgili çeşitli aksiyonlar alınabilir. Trellix DLP ile; kopyala-yapıştır, Cloud uygulamaları, yazıcı çıktısı, ekran görüntüsü, SMB ve FTP gibi paylaşım protokolleri, webe upload, sosyal medya platformları, bilinmeyen uygulamaların verilere erişimi, taşınabilir ve plug-and-play (tak-kullan) cihazlar gibi bütün çıkış vektörleri için kurallar oluşturulabilir ve değerli verilerin koruması sağlanır.
Trellix HX, on premise olarak ister fiziksel bir kutu ile ister sanal makine ile kullanılabilen bir gelişmiş EDR çözümüdür. İçerisinde imza tabanlı zararlı önleme sistemi bulunduran fakat asıl amacı gelişmiş atakları (APT) önlemek olan bir çözümdür. Zero-day (sıfırıncı gün) saldırılarını önleme başarısı sandboxing özelliğinden gelmektedir ve makine öğrenmesi ile davranış analizini sektörde en iyi gerçekleştiren çözümlerin başında gelir. Ayrıca forensic çalışmalarında uç nokta bilgisayarlardan çekebildiği dumplarla gerçekleşmiş bir saldırının analizini en iyi şekilde yapabilmek için gereken bütün verileri toplayabilir. Bunun yanında uç nokta bilgisayarlarda Shell çalıştırabilir. Trellix HX’in kurulumu ve kullanımı hem kolay hem de amaca yöneliktir.
Trellix Intelligent Sandbox (TIS), on-premise olarak ortama kurulabilen, hem fiziksel hem de sanal makine olarak kullanılabilen bir sandbox çözümüdür. TIS ile dinamik ve statik tehdit analizleri gerçekleştirilebilir. TIS, entegrasyon kabiliyeti açısından çok yeteneklidir. Açık kaynaklı standartları destekleyen neredeyse bütün güvenlik çözümleriyle entegre olabilir ve kurum ağının önüne konumlandırabilen güvenilir bir koruma sağlar. İçerisindeki GAM (Gateway Anti-Malware Engine) ile network seviyesinde zararlı analizi yapabilir. Ayrıca TIS, manuel olarak şüphelenilen dosyaların taranabilmesine de olanak sağlar.
Trellix HX, on premise olarak ister fiziksel bir kutu ile ister sanal makine ile kullanılabilen bir gelişmiş EDR çözümüdür. İçerisinde imza tabanlı zararlı önleme sistemi bulunduran fakat asıl amacı gelişmiş atakları (APT) önlemek olan bir çözümdür. Zero-day (sıfırıncı gün) saldırılarını önleme başarısı sandboxing özelliğinden gelmektedir ve makine öğrenmesi ile davranış analizini sektörde en iyi gerçekleştiren çözümlerin başında gelir. Ayrıca forensic çalışmalarında uç nokta bilgisayarlardan çekebildiği dumplarla gerçekleşmiş bir saldırının analizini en iyi şekilde yapabilmek için gereken bütün verileri toplayabilir. Bunun yanında uç nokta bilgisayarlarda Shell çalıştırabilir. Trellix HX’in kurulumu ve kullanımı hem kolay hem de amaca yöneliktir.
Trellix Email Security (EX), e-posta trafiğinde; sosyal mühendislik, spear phishing (hedef odaklı oltalama), credential harvesting (kimlik avcılığı) gibi geleneksel savunma yöntemleriyle engellenemeyen saldırı çeşitlerine karşı gerçek zamanlı koruma ve engelleme sağlar. Oltalama saldırılarında yazım hatalarını yakalar, gönderici ile alıcı arasındaki daha önce bir e-posta trafiği gerçekleşip gerçekleşmediğini kontrol eder ve e-posta ile paylaşılan URL ve ekleri analiz ederek geniş kapsamlı bir koruma sağlar. Trellix EX parola korumalı ekler içeren e-postalar için, e-posta içerisinde parolanın paylaşılmış olması ihtimaline karşı parola olabilecek kelimeleri deneyerek korumalı dosyayı açmaya çalışır. Ayrıca, daha önce izin verilmiş bir e-postanın zararlı olduğunun saptanması durumunda geriye dönük koruma sağlayarak bu e-postadaki verileri tekrar analiz ederek yeni tehditlere karşı savunma geliştirir. Trellix EX, kısaltılmış ve yönlendirilmiş URL’ler için de koruma sağlarken zero-day (sıfırıncı gün) ve bilinen saldırı çeşitleri için MVX motorundan faydalanır. Trellix EX çözümü, kolay kurulum sağlayan entegre kurulum, dağıtık yapı, sanal sensör yapısı ve cloud MVX’ten yararlanılmak üzere çeşitli şekillerde konumlandırılabilir.
Saldırı Önleme Sistemi (IPS), güvenlik açığı istismarlarını tespit etmek ve önlemek üzere ağ trafiğini inceleyen bir ağ güvenliği ve tehdit önleme teknolojisidir. Güvenlik zafiyetlerinin kötüye kullanımı, genellikle bir uygulamanın veya bir sistemin denetimini kesmek ve kötü amaçlı bir girdi oluşturmak şeklinde ortaya çıkar. Başarılı bir saldırının ardından hedef uygulama saldırgan tarafından devre dışı bırakılabilir (hizmet reddi) veya saldırgan ele geçirilen sistem/uygulamada mevcut tüm hak ve izinlere erişebilir. IPS, kaynak ve hedef arasında doğrudan iletişim ağına yerleştirilerek tamamlayıcı bir analiz ve güvenlik katmanı sağlar. Bu yolla ağ ve sistemler için yöneticiye alarm gönderilmesi, kötü amaçlı paketleri reddetme, kaynak adresten gelen trafiği engelleme ve bağlantıyı sıfırlama gibi otomatik eylemler gerçekleştirir. IPS’ler, UTM ve NGFW çözümlerine entegre edilmiş olsa da kurumsal yapılar için performans, bütünleşik güvenlik yaklaşımı için entegrasyon, bir bileşen olarak çalıştığında sağlanamayan ek güvenlik önlemlerinden ödün vermemek üzere tek başına konumlandırılmaktadır. Trellix IPS engellenecek olası bir saldırı trafiğini farklı yöntemlerle tespit eder. İmza tabanlı algılama (Signature-based detection) bu yöntemlerden biridir. Bir diğer yöntem ise Anormallik Tespitidir (Anomaly Detection). Trellix IPS anormallik tespiti özelliği ile daha önce hesaplanmış temel performans seviyesini kullanarak rastgele gözlemlediği ağ trafiği örneklerini karşılaştırabilir ve temel parametrelerin dışındaki ağ trafiği aktivitesine karşı harekete geçer. Trellix IPS, virtual IPS özelliği sayesinde tek bir donanım onlarca sanal donanıma çevirebilir. Gerçek zamanlı ve geçmişe ait grafiksel, anlamlı ve aktif raporlama olanakları sağlar.
Trellix ePO (Epolicy Orchestrator) hem cloudda SaaS (hizmet olarak yazılım) olarak hizmet alınabilen hem de on-premise şeklinde kurum ortamına kurulabilen bir yönetim platformudur. Trellix ePO, Trellix endpoint (uç nokta) ürün ailesindeki neredeyse bütün ürünleri yönetebilen, web arayüzünden erişim sağlanan ve Windows server üzerine kurulumu sağlanan bir çözümdür. Trellix ePO modüler bir yapıya sahiptir ve yeni ürün lisanslarınız eklendikçe ePO da genişler. Trellix ePO ile uzaktan ajan yüklenmesi, çözümlerin yüklenmesi, güncellenmesi, kaldırılması ve uzaktan antivirüs taraması başlatılması gibi pek çok işlem gerçekleştirilir. Raporlama anlamında çok gelişmiş kabiliyetleri bulunan ePO, bu oluşturulan raporları aylık, haftalık, günlük gibi belirlenen tarihlerde belirlenen eposta adreslerine otomatik yollayabilir. Active Directory ile LDAP üzerinden entegre olarak bütün DC yapılarının hızlı bir şekilde yönetilmesine ve bu yapı üzerinde koruma sağlanmasına olanak sağlar.
Trellix XDR platformu, bütün Trellix güvenlik çözümlerini ve diğer partner güvenlik çözümlerini tek bir ekranda birleştirip yönetimini sağlayan bir çözümdür. Trellix XDR, Trellix ailesindeki bütün uç nokta güvenliği(endpoint), veri güvenliği, ağ güvenliği, eposta güvenliği, bulut güvenliği ve secops (güvenlik operasyonları) çözümlerini tek bir çözüm haline getirir ve yönetim kolaylığı sağlar. Bu sayede daha efektif bir tehdit analizi ve görünürlük sağlanmış olur. Trellix XDR, Trellix tehdit istihbaratı dışında açık kaynak tehdit istihbaratlarıyla da entegre olabilir. Trellix XDR, Trellix ailesindeki çözümlerin kurumunuza kattığı değeri artırırken, güvenlik operasyonlarının karmaşıklığını azaltır. Bu özellikleriyle Trellix XDR, IT çalışanlarının, SecOps analistlerin ve MSSP’lerin hayatını kolaylaştıran bir platform olmaktadır.
Trellix MVX (Multi-Vector Virtual Execution) motoru, saldırıların yaşam döngüsüne odaklanarak dinamik ve gerçek zamanlı koruma sağlar. Trellix MVX, hedef odaklı sofistike saldırıları (APT) ve zero-day (sıfırıncı gün) saldırılarını engellemeyi amaçlar. Standart güvenlik çözümleri tek bir proses ya da uygulamaya odaklanırken Trellix MVX bütünsel bir şekilde, ortamda gerçekleşen olaylar arasında bağlantı kurarak tespit edilmesi zor saldırıları tespit eder. Trellix MVX birçok Trellix çözümüyle birlikte kullanılarak üst düzey bir koruma sağlar. Fiziksel bir cihazla birlikte ihtiyaç doğrultusunda ek sanal cihazlarla birlikte kullanılabilirken clouddan da hizmet satın alınarak bu çözümden faydalanılabilir.
Trellix Helix, birçok çözümü içerisinde bulunduran bir güvenlik platformudur. Trellix H, 600’den fazla Trellix ve 3. parti güvenlik çözümleriyle entegre olabilir. Bu sayede çoklu veri kaynaklarından gelen tehdit istihbaratıyla veri zenginleştirmesi yapılır ve daha doğru tehdit analizi gerçekleştirilebilir. Trellix Helix iç tehditler ve yatay ağ hareketlerini inceleyerek ortamın görünürlüğünü artırır. İçerisinde hazır olarak gelen playbooklardan yararlanılarak, özelleştirilmiş playbooklar oluşturulabilir. Bir SOAR çözümü olmasının yanında Next-gen (yeni nesil) SIEM özellikleri de taşır. Bu sayede ortamdaki olup biten bütün olaylardan haberdar olunur ve bu olaylar ile ilgili korelasyon yazılabilir, alarmlar üretilmesi sağlanabilir. Bu sayede tehditlere karşı hızlı ve otomatize aksiyonlar alınabilir. Trellix Helix hem hazırda gelen hem de özelleştirilebilir rapor sistemi sunarak görünürlük ve kullanım kolaylığı sağlar. Bütün güvenlik çözümlerini tek bir noktadan yönetmek ve olay yönetimini daha efektif bir şekilde gerçekleştirmek için Trellix Helix aranılan çözüm olabilir.
