Home NDR Monitoring DNS Shield UEBA Analytics FORGE SOAR RECON Scanner Blog Firma Kontakt

Angriffe erkennen —
bevor Schaden entsteht.

UEBA – User & Entity Behavior Analytics gegen Insider-Threats & Ransomware

IRONATE UEBA überwacht 6 Plattformen simultan: Windows- und Linux-Endpunkte, Microsoft 365, Azure Cloud, Netzwerkgeräte und Applikationen, korreliert mit 42+ MITRE ATT&CK-Techniken und 70+ Verhaltensmetriken. On-Device-Detection in Millisekunden. Keine Cloud-Abhängigkeit, vollständige Datensouveränität.

KOSTENLOSE BERATUNG arrow_forward PREISE ANSEHEN
42+
MITRE ATT&CK-Techniken abgedeckt
6
Plattformen in einer Lösung
70+
Verhaltensmetriken überwacht
43
Auto-Response-Aktionstypen

UEBA Analytics in Aktion

Sehen Sie, wie IRONATE UEBA Insider-Bedrohungen und Anomalien aufdeckt.

Alleinstellungsmerkmal

Erkennung direkt auf dem Endpunkt: nicht erst in der Cloud.

Herkömmliche UEBA-Systeme sammeln Rohdaten, schicken sie in die Cloud und erkennen Bedrohungen erst Minuten später. IRONATE UEBA arbeitet anders: Die Detection-Logik läuft direkt auf dem Windows- und Linux-Endpunkt. Ergebnis: Erkennung in Millisekunden, auch ohne Netzwerkverbindung.

Nur Alerts und Aggregate werden ans Backend übermittelt, niemals Rohdaten. Ihre sensiblen Betriebsdaten verlassen das Gerät nicht. Kein anderes UEBA-System am Markt bietet diese Kombination aus On-Device-Geschwindigkeit und Datenschutz.

bolt

Millisekunden statt Minuten

Erkennung on-device, bevor der nächste Prozess startet

cloud_off

Keine Rohdaten in die Cloud

Nur Alerts werden übertragen, DSG-konform per Architektur

wifi_off

Funktioniert ohne Netzwerkverbindung

Lokale Pufferung und Detection auch im Offline-Betrieb

stop_circle

Automatischer Prozess-Stopp (optional)

Der Agent kann einen verdächtigen Prozess sofort beenden, einzigartig am Markt

compare_arrows

On-Device vs. Cloud-UEBA

Merkmal IRONATE UEBA Cloud-UEBA
Erkennungslatenz Millisekunden Minuten
Rohdaten verlassen Netzwerk Nein Ja
Offline-Detection Ja Nein
Prozess-Stopp on-device Ja Nein
US-Jurisdiction / CLOUD Act Nein Ja
Deutschsprachige Oberfläche Ja (CH) Nein

20+ Angriffsszenarien erkannt.

enhanced_encryption

Ransomware-Aktivität

Erkennung von Verschlüsselungsmustern durch Korrelation anomaler Datei-, Registry- und Prozess-Aktivität: als Gesamt-Pipeline bewertet, nicht als Einzelereignisse.

key_off

Credential-Dumping

LSASS-Speicherzugriffe, DCSync, Kerberoasting und AS-REP-Roasting werden direkt bei Auftreten erkannt: ohne Wartezeit.

group_remove

Insider-Bedrohungen

Peer-Group-Vergleich erkennt auffällige Administratoren selbst dann, wenn ihre Aktivität für sich allein unauffällig wäre.

no_accounts

Kompromittierte Konten

Identifikation von Kontoübernahmen durch Verhaltensabweichungen: inkl. Impossible Travel, neue Länder und Conditional-Access-Bypass in M365/Entra.

cloud_upload

Datenexfiltration

Massendownloads aus SharePoint/OneDrive, anomale FTP/SFTP-Transfers, NAS-Großlesezugriffe und BEC-Weiterleitungsregeln in Exchange werden erkannt.

schedule

Unübliche Zugriffszeiten

Warnung bei Systemzugriffen ausserhalb der üblichen Arbeitszeiten: durch automatisches Lernen individueller Wochen- und Tagesmuster.

security

Privilegieneskalation

Detektion von Domain-Admin-Beitritten, GPO-Manipulation, sudo/su-Eskalation auf Linux und unautorisierter Rollenzuweisung in Azure.

robot_2

Missbrauch von Dienstkonten

Verdächtige PowerShell-Ausführungen, verschleierter Code und ungewöhnliche Service-Account-Aktivität werden durch Verhaltensanalyse erkannt.

cloud_off

Azure Cloud-Sabotage

Massenlöschung von VMs, Storage-Containern, Key Vaults und Intune-Gerätezurücksetzungen werden als verdächtige Cloud-Aktivität erkannt.

automation

Power Automate Missbrauch

Unautorisierte Flows, die sensible Daten weiterleiten oder automatisierte Aktionen ausführen, werden in Microsoft 365 erkannt.

dns

C2 & DGA-Erkennung

C2-Beaconing und DGA-Domains werden über dualen Shannon-Entropie-Schwellwert und DNS-Anfrage-Frequenzanalyse erkannt: auch verschleierte C2-Kanäle.

web_asset_off

Webshell & Lateral Movement

Webshell-Drops, Prozessinjektionen, Named-Pipe-Missbrauch und Remote-Thread-Erstellung für Lateral Movement werden erkannt.

Warum IRONATE UEBA?

Was Exabeam, Securonix und Sentinel nicht können.

Enterprise-UEBA war bisher cloud-only, teuer und englischsprachig. IRONATE UEBA bricht dieses Muster, mit On-Device-Detection, Schweizer Datensouveränität und einer Oberfläche, die Ihre Analysten tatsächlich verstehen.

Merkmal IRONATE UEBA Exabeam Securonix Microsoft Sentinel
On-Device-Detection (Millisekunden)check_circlecancelcancelcancel
Automatischer Prozess-Stopp on-devicecheck_circlecancelcancelcancel
OnPrem / keine Cloud-Pflichtcheck_circlecancelcancelcancel
DSG/DSGVO / kein CLOUD Actcheck_circlecancelcancelcancel
Lokaler KI-Analyst (kein Cloud-LLM)check_circlecancelcancelhelp
Deutschsprachige Oberfläche (CH)check_circlecancelcancelhelp
Memory-Forensik integriertcheck_circlehelphelpcancel
Swiss Made & lokaler Supportcheck_circlecancelcancelcancel
PreismodellCHF 0.70–7.00
pro Entität/Mt.		USD 6-stellig/Jahr
(Mindest-Commit)		USD 6-stellig/Jahr
(Mindest-Commit)		Nutzungsbasiert
(US-Cloud)

help = eingeschränkt oder Add-on erforderlich

Geschäftsvorteile

Warum UEBA unverzichtbar ist

60% aller Datenverluste gehen auf Insider-Bedrohungen zurück. UEBA erkennt das unsichtbare Risiko, bevor es zum Millionenschaden wird.

psychology

Verhalten statt Regeln: Zero-Day-fähig

Herkömmliche SIEM-Regeln erkennen nur bekannte Muster. IRONATE UEBA lernt das individuelle Verhalten jedes Benutzers und jeder Entität und erkennt Abweichungen, die regelbasierte Systeme übersehen, auch Zero-Day-Insider-Angriffe und neuartige Malware.

trending_down

Drastisch weniger Fehlalarme

Alert Fatigue lähmt Security-Teams. IRONATE UEBA reduziert Fehlalarme durch kontextbezogene Risikobeurteilung, Peer-Group-Vergleich und adaptive Baselines erheblich, Ihr Team arbeitet effizienter an echten Bedrohungen.

admin_panel_settings

Privileged Access vollständig überwachen

Admin-Konten sind das Hauptziel von Angreifern. IRONATE UEBA überwacht alle privilegierten Zugriffe in Echtzeit, auf Endpunkten, in M365, Azure und im Active Directory gleichzeitig.

timer

In 72 Stunden einsatzbereit

Kein monatelanges Tuning. IRONATE UEBA beginnt sofort mit dem Lernen und liefert nach nur 72 Stunden erste verwertbare Erkenntnisse, mit nahtloser Integration zu M365 Entra, Active Directory und Netzwerkgeräten.

RansomProtect

Ransomware stoppen, bevor verschlüsselt wird.

IRONATE UEBA enthält eine spezialisierte RansomProtect-Engine, die eine ganze Encryption-Pipeline als Ganzes bewertet, statt nur einzelne IOCs zu matchen.

enhanced_encryption

Mass-Encryption-Detection

Erkennt plötzlich anomale Datei-Aktivitäts-Muster, massenhafte Dateierzeugung, Anomalien in der Extension-Verteilung und Mass-Deletes als typische Verschlüsselungssignale.

build

Pipeline-Korrelation

Mehrstufige Verhaltenskorrelation über mehrere gleichzeitige Signale, die eine Encryption-Pipeline charakterisieren, statt isolierte Einzel-Events zu betrachten.

policy

AV/EDR-Tampering-Schutz

Erkennt das systematische Beenden von AV/EDR-Prozessen, ein klassischer Pre-Encryption-Schritt moderner Ransomware-Familien.

memory

Integrierte Memory-Forensik

Analysiert Prozess-Speicher auf injizierten Code, Shellcode-Patterns und DLL-Manipulation, direkt in der Plattform, ohne externes Forensik-Tool.

stop_circle

Auto-Kill (optional)

Bei kritischer Bewertung kann der Agent den verdächtigen Prozess sofort beenden, mit optionaler Backend-Validierung gegen Fehlalarme. Einzigartig am Markt.

link

Threat-Chain-Korrelation

Zusammengehörige Alerts werden automatisch zu mehrstufigen Angriffsketten gruppiert, MITRE ATT&CK-Phasen zugewiesen und mit einem aggregierten Risikowert versehen.

360° Datenquellen

Sechs Schichten. Eine Plattform.

IRONATE UEBA korreliert Telemetrie aus Endpunkten, Cloud-Identity, Azure, Netzwerk und Applikationen, und erkennt Angriffe, die nur durch Korrelation über Plattformgrenzen sichtbar werden.

computer

Windows-Endpoint-Agent

Nativer Agent mit umfassender Systemintegration. Detection lokal auf dem Gerät, nur Alerts werden übertragen.

  • checkWindows Server 2016–2025, Win 10/11
  • checkProzess-, Datei-, Registry-, Netzwerk-, DNS-Telemetrie
  • checkMemory-Access und Named-Pipe-Überwachung
  • checkPufferung bei Netzwerkausfall
terminal

Linux-Endpoint-Agent

eBPF/Syscall-basiert, Kernel-level Sichtbarkeit ohne Kernel-Modul. Unterstützt Ubuntu, Debian, RHEL, CentOS.

  • checkKernel 4.15+ kompatibel
  • checkPrivilege-Escalation: sudo, su, pkexec, SUID/SGID
  • checkProcess-Tree-Rekonstruktion aus Kernel-State
  • checkLokal puffernd bei Verbindungsverlust
cloud

Microsoft 365 / Entra ID

Direkte Anbindung an Microsoft Cloud-APIs. Erkennt Identity-Angriffe, Datenexfiltration und Konfigurationsmissbrauch.

  • checkSign-In-Anomalien, Impossible Travel, Conditional-Access-Bypass
  • checkSharePoint/OneDrive Mass-Download, Exchange BEC
  • checkTeams, Intune-Gerätezurücksetzungen, Power Automate
  • checkMulti-Tenant-fähig mit verschlüsselten Credentials
hub

Azure Cloud

Azure Activity Log und Ressourcenüberwachung. Erkennt Cloud-Sabotage und unautorisierte Infrastrukturänderungen.

  • checkMassenlöschung von VMs, Storage, Key Vaults
  • checkUnautorisierte Rollenzuweisungen und Policy-Änderungen
  • checkAzure Monitor Diagnostic Logs Integration
  • checkVM-Management-Anomalien
router

Netzwerk-Syslog

Native Parser für Schweizer Enterprise-Plattformen, UDP/TCP. Erkennt Anomalien direkt aus dem Roh-Log.

  • checkFortinet FortiGate (VPN, Traffic, Firewall-Deny)
  • checkPalo Alto PAN-OS (GlobalProtect, Threat)
  • checkCisco ASA/FTD (VPN, Firewall)
  • checkNetApp ONTAP & StorageGRID (NFS/CIFS)
folder_open

Applikations-Logs

Vorgefertigte und konfigurierbare Parser für Applikations-Logs, ohne Agenten-Installation auf dem Server.

  • checkFileZilla & SFTPGo (FTP/SFTP-Aktivität)
  • checkIIS, Apache, Nginx (HTTP-Access-Logs)
  • checkCustom-Parser für proprietäre Applikationen
  • checkMulti-Format-Timestamp-Normalisierung
Detection Engine

Mehrere Modelle. Pro Entität. Parallel.

Kein Single-Algorithm-Bias: jedes Asset wird simultan von mehreren komplementären Erkennungsmodellen ausgewertet, kombiniert mit Sigma-Rules und Sofort-Erkennung für kritische Angriffsmuster.

show_chart

Adaptive Baselines

Lernt automatisch das normale Verhalten jeder Entität.

center_focus_strong

Echtzeit-Abweichung

Sofort-Alarme bei untypischem Verhalten.

trending_up

Drift-Detection

Erkennt schleichende Verhaltensänderungen.

calendar_view_week

Wochen- & Tagesmuster

Berücksichtigt typische Arbeitszeit-Rhythmen.

shield

Outlier-resistente Bewertung

Stabil gegen einzelne Ausreisser im Normalverhalten.

timeline

Langfristige Trend-Analyse

Veränderungen im Zeitverlauf im Blick.

visibility

Zero-Day-Detection

Neue, unbekannte Entitäten sofort erkannt.

groups

Peer-Group-Vergleich

K-Means-Clustering bildet automatisch Vergleichsgruppen nach Aktivitätsprofil, ohne manuelle Kategorisierung.

bolt

Sofort-Erkennung kritischer Muster

Diese Angriffsmuster werden unmittelbar erkannt, ohne statistische Baseline:

  • DCSync: Domain-Controller-Replikation durch unautorisierte Konten
  • Kerberoasting: Service-Ticket-Cracking-Versuche
  • AS-REP Roasting: Pre-Authentication-Bypass
  • Privileged Group Joins: Beitritte zu Domain-/Enterprise-Admin-Gruppen
  • Webshell-Drop: Webserver-Prozesse, die ausführbare Skripte schreiben
  • Datenbank-Shell-Spawn: DB-Server, die Shell-Prozesse starten
  • Process Tampering (EID 25): Process-Hollowing, Herpaderping und Ghosting, Erkennung über Sysmon Event 25
  • ADS-Erkennung (EID 15): Alternate Data Streams auf NTFS als versteckter Exfiltrations-Kanal
  • Kerberos Pre-Auth-Fehler (Sec 4771): Massenhafte Failures als Brute-Force- und Password-Spray-Indikator
manage_search

Sigma-Rules, IOC-Feeds & Retro-Scan

Industriestandard-Erkennungsregeln plus Ironate-Erweiterungen:

  • YAML-basierte Sigma-Rules (Community + privat kuratiert)
  • Custom-Rule-Editor in der Plattform
  • IOC-Feed-Matching: IPs, Domains, Hashes, URLs
  • Retro-Scan: Historische Daten bis 90 Tage rückwirkend gegen neue IOC-Feeds prüfen
  • PowerShell-Obfuscation-Detection
  • Auto-Learn Whitelist: Legitime Anomalien werden automatisch erkannt und supprimiert, weniger False-Positives ohne manuelle Pflege
  • C2-Beaconing- und DGA-Erkennung über DNS-Anomalien
smart_toy

Lokaler KI-Analyst, Ihre Daten verlassen nie das Unternehmen

Optionaler KI-Assistent, der vollständig auf Ihrer eigenen Hardware läuft: Alert-Triage, Threat-Summarization und Handlungsempfehlungen in Deutsch, ohne dass Ihre Sicherheitsdaten je an externe Dienste übermittelt werden. Privacy by Design.

Swiss & DSG-konform
Automated Response

Vom Alert zur Containment: in Sekunden.

43 vordefinierte Aktionstypen, integrierte Playbook-Engine und 4-Augen-Prinzip für kritische Massnahmen. Keine separate SOAR-Lösung nötig, FORGE-Integration inklusive.

shield_lock

Endpoint- & Identity-Containment

Sofortige Isolation kompromittierter Hosts und Konten via Enterprise-APIs:

  • checkSophos Central (Network-Isolation via XDR)
  • checkMicrosoft Defender for Endpoint (Machine-Isolation)
  • checkCrowdStrike Falcon (RTR-Endpoint-Contain)
  • checkVMware NSX-T (Dynamic Firewall IP-Block)
  • checkAD-LDAP & Entra ID (Account-Disable, Session-Revoke, MFA-Reset)
approval

4-Augen-Prinzip & Audit-Chain

Sensitive Aktionen erfordern eine Zweitfreigabe, mit lückenloser Beweiskette:

  • checkRequester ≠ Approver erzwungen
  • checkTimeout-Verhalten konfigurierbar
  • checkVollständige Audit-Chain je Approval
  • checkNotification via E-Mail, Teams oder Slack
notifications_active

Notifications & Ticketing

Direkte Integration in Ihre bestehenden SecOps- und ITSM-Tools:

  • checkMicrosoft Teams, Slack
  • checkServiceNow (automatisches Incident-Ticket)
  • checkJira, SMTP, generische JSON-Webhooks
  • check5 Benachrichtigungskanäle gleichzeitig
account_tree

Playbook-Engine & Custom-Module

Konditionale Playbooks plus eigene Skripte für forensische Snapshots:

  • check43 vorgefertigte Aktionstypen
  • checkIf-Then-Else, Loops, Wait-States
  • checkCustom-Module (PowerShell / Python)
  • checkFORGE-SOAR-Integration für tiefere Workflows
Compliance & Forensics

Konform mit NIS2, ISO 27001, FINMA & revDSG

Audit-Trail, Aufbewahrungs-Policies, Daten-Rechte und PDF-Reports sind eingebaute Plattformfunktionen, keine externen Add-Ons.

history

Lückenloser Audit-Trail

Jede Aktion: Login, Alert-Statusänderung, Approval, Isolation: wird mit Zeitstempel, Benutzer und Kontext festgehalten.

delete_sweep

Right to Erasure (Art. 17)

DSGVO-konforme Löschung von Subject-Daten über einen eingebauten Endpoint: konsistent über alle Datenbanken.

lock

AES-256 Encryption

Sensitive Konfigurationswerte (API-Keys, OAuth-Secrets) werden AES-256-verschlüsselt mit getrennt verwaltbarem Key gespeichert.

picture_as_pdf

Compliance-PDF-Reports

Vorgefertigte Templates für NIS2, ISO 27001, DSGVO/revDSG und FINMA: direkt aus der Plattform exportierbar, wöchentlich oder monatlich.

manage_search

Forensische Tiefe, Threat-Hunt & Timeline-Reconstruction

Visual Threat Hunt

Visueller Query-Builder für manuelles Threat-Hunting über alle eingesammelten Events.

Timeline-Analyse

Rekonstruktion der Angriffssequenz aus korrelierten Alerts mit MITRE ATT&CK-Phasenzuordnung.

Process-Tree-Rekonstruktion

Parent-Child-Visualisierung von Malware-Execution-Chains als interaktiver Netzwerk-Graph.

Memory-Dump-Analyse

Integrierte Memory-Forensik für Shellcode-Suche und injizierten Code, kein separates Tool nötig.

Transparente Preise

Preisliste UEBA Analytics

Faire, mengenbasierte Preisgestaltung. Je mehr Entitäten Sie überwachen, desto günstiger wird es pro Einheit.

Anzahl EntitätenPreis in CHF
1 – 100CHF 7.00
101 – 300CHF 6.00
301 – 500CHF 4.00
501 – 1’000CHF 3.00
1’001 – 2’000CHF 2.00
2’001 – 4’000CHF 1.00
4’001 – 8’000CHF 0.80
8’001 – 12’000CHF 0.70

Preise pro Entität / Monat, exkl. MwSt. Individuelle Konditionen ab 12’000 Entitäten auf Anfrage.

Offerte anfordern arrow_forward

Was ist UEBA (User and Entity Behavior Analytics)?

UEBA (User and Entity Behavior Analytics) ist eine Cybersecurity-Technologie, die das normale Verhalten von Benutzern, Geräten und Anwendungen analysiert und Abweichungen als potenzielle Bedrohungen erkennt, auch ohne bekannte Signaturen.

Im Gegensatz zu regelbasierten SIEM-Systemen erkennt UEBA unbekannte Bedrohungen (Zero-Day), da die Erkennung auf Verhaltensabweichungen basiert. Damit ist UEBA besonders effektiv bei Insider-Bedrohungen, kompromittierten Konten und fortgeschrittenen Ransomware-Angriffen, die gezielt Sicherheitssysteme umgehen.

IRONATE UEBA geht über klassisches UEBA hinaus: Mit On-Device-Detection auf Windows- und Linux-Endpunkten erkennt das System Bedrohungen in Millisekunden, direkt auf dem Gerät, ohne Rohdaten in die Cloud zu senden. 6 Plattformen werden in einer einzigen Lösung korreliert: Endpunkte, M365, Azure, Netzwerkgeräte, FTP/Web-Server und Custom-Applikationen.

Als einzige Schweizer UEBA-Lösung bietet IRONATE eine vollständig deutschsprachige Oberfläche, lokalen KI-Analysten ohne Cloud-Datenübermittlung und Compliance-Reports für NIS2, ISO 27001, FINMA und revDSG, eingebaut, nicht als Add-on.

Typische Anwendungsfälle

Insider-Bedrohungen
Erkennung unüblicher Aktivitäten durch eigene Mitarbeiter oder Partner, durch Peer-Group-Vergleich auch dann, wenn das Verhalten isoliert betrachtet unauffällig wirkt.
Kompromittierte Konten & Account Takeover
Identifikation von Kontoübernahmen durch Verhaltensabweichungen: Logins von unbekannten Standorten, Impossible Travel, Conditional-Access-Bypass oder Nachtanmeldungen.
Ransomware-Früherkennung
Die RansomProtect-Engine korreliert die gesamte Encryption-Pipeline, von Prozess-Anomalien über AV-Terminierung bis hin zu Massen-Dateiaktivität. Optional stoppt der Agent den Prozess autonom.
Datenexfiltration verhindern
Massendownloads aus SharePoint, anomale FTP/SFTP-Transfers, NAS-Großlesezugriffe und BEC-Weiterleitungsregeln in Exchange werden erkannt, bevor Daten das Unternehmen verlassen.

Häufig gestellte Fragen zu UEBA

Was ist UEBA und warum brauche ich es?expand_more

UEBA analysiert das Verhalten von Benutzern und Systemen und erkennt Abweichungen als potenzielle Bedrohungen, auch ohne bekannte Signaturen. Insider-Bedrohungen, kompromittierte Konten und Ransomware werden erkannt, bevor Schaden entsteht. Regelbasierte SIEM-Systeme übersehen diese Angriffe typischerweise, weil sie auf bekannten Mustern basieren.

Was unterscheidet IRONATE UEBA von Exabeam, Securonix oder Microsoft Sentinel?expand_more

IRONATE UEBA erkennt Bedrohungen direkt auf dem Endpunkt in Millisekunden, nicht erst nach Cloud-Upload. Der Agent kann einen verdächtigen Prozess autonom stoppen, ohne Umweg über eine Cloud-Plattform. Kein anderer Anbieter kombiniert On-Device-Detection, automatischen Prozess-Stopp, lokalen KI-Analysten und vollständige OnPrem-Datensouveränität. Dazu kommt die einzige vollständig deutschsprachige Oberfläche für Enterprise-UEBA sowie Schweizer Support.

Wie schnell ist IRONATE UEBA einsatzbereit?expand_more

IRONATE UEBA ist innerhalb von 72 Stunden operativ. Kein monatelanges Tuning, die Plattform beginnt sofort mit dem Lernen und liefert nach wenigen Tagen erste verwertbare Erkenntnisse.

Welche Plattformen werden überwacht?expand_more

Sechs Plattformen in einer Lösung: Windows-Endpunkte (Agent), Linux-Endpunkte (Agent), Microsoft 365 / Entra ID (SharePoint, OneDrive, Exchange, Teams, Intune, Power Automate, Conditional Access), Azure Cloud (Activity Log, Ressourcen-Management), Netzwerkgeräte via Syslog (Fortinet, Palo Alto, Cisco, NetApp) und Applikations-Logs (FTP, Web-Server, Custom-Parser).

Wie erkennt IRONATE UEBA Ransomware?expand_more

Die RansomProtect-Engine korreliert mehrstufige Verhaltenssignale: anomale Dateiaktivität, AV/EDR-Prozess-Terminierung, Registry-Manipulation und verdächtige Prozessaktivität werden als Gesamt-Encryption-Pipeline bewertet, nicht als Einzelereignisse. Optional stoppt der Agent den Prozess autonom. Integrierte Memory-Forensik analysiert Prozess-Dumps auf Shellcode und injizierten Code.

Welche automatischen Response-Aktionen sind möglich?expand_more

43 vordefinierte Aktionstypen: Endpoint-Isolation (Sophos, Microsoft Defender, CrowdStrike, VMware NSX-T), Identity-Lockout (AD-LDAP, Entra ID, Session-Revoke, MFA-Reset), Notifications (Teams, Slack, E-Mail), Ticketing (ServiceNow, Jira) und Custom-Skripte (PowerShell / Python). Sensitive Aktionen erfordern 4-Augen-Prinzip mit lückenloser Audit-Chain.

Gibt es einen IOC-Retro-Scan?expand_more

Ja. IRONATE UEBA bietet einen Retro-Scan, der historische Daten bis zu 90 Tage rückwirkend gegen neue IOC-Feeds und Sigma-Rules prüft. So können nach einem publizierten Threat-Feed sofort vergangene Aktivitäten auf Zusammenhänge geprüft werden.

Ist IRONATE UEBA NIS2- und FINMA-konform?expand_more

Ja. Vorgefertigte PDF-Report-Templates für NIS2, ISO 27001, DSGVO/revDSG und FINMA. Lückenloser Audit-Trail, 4-Augen-Prinzip, AES-256-Verschlüsselung sensibler Konfigurationsdaten und DSGVO-Right-to-Erasure (Art. 17) als eingebaute Plattformfunktion. Entwicklung, Betrieb und Support ausschliesslich aus der Schweiz.

Gibt es einen lokalen KI-Analysten?expand_more

Ja. IRONATE UEBA bietet optional einen KI-Assistenten, der vollständig auf Ihrer eigenen Hardware läuft, ohne Cloud-Abhängigkeit. Alert-Triage, Threat-Summarization und Handlungsempfehlungen werden auf Deutsch generiert, ohne dass Ihre Sicherheitsdaten das Unternehmensnetzwerk verlassen. Privacy by Design, DSG-konform.