Threat Intelligence Platform

Threat Intelligence Platform

Функционал модуля TIP платформы Securtiy Vision обеспечивает автоматический сбор индикаторов компрометации (IoC) из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией, а также обработку полученной информации – добавление исключений в настройки средств защиты, выявление индикаторов в инфраструктуре Заказчика, оповещение заинтересованных лиц и дальнейшее распространение информации.

Получение индикаторов компрометации осуществляется посредством интеграции с сервисами – поставщиками с использованием механизмов универсальных коннекторов. Функционал коннекторов позволяет:

-         получать информацию об индикаторах компрометации;

-         производить обработку и нормализацию полученной информации;

-         осуществлять фильтрацию полученной информации;

-         обеспечивать дедупликацию полученной информации;

-         создавать новую запись индикатора в базе индикаторов компрометации или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.

Функционал коннекторов позволяет осуществлять сбор информации из различных сервисов и систем посредством следующих способов и протоколов:

-         обработка файлов в форматах XML, JSON, CSV, TXT, Binary;

-         REST;

-         SOAP;

-         IMAP;

-         POP3;

-         MS SQL;

-         MySQL;

-         PostgreSQL;

-         Syslog.

          Функционал модуля позволяет осуществлять обработку полученных индикаторов по настраиваемым рабочим процессам. Рабочий процесс обработки индикатора компрометации позволяет выполнять как автоматические, так и инициируемые пользователям действия в соответствии с утверждёнными в организации процессами. В рамках обработки производится:

1. Обогащение индикатора дополнительными данными на основании внешних сервисов и информационных систем Заказчика.

2. Выявление индикатора компрометации в инфраструктуре Заказчика, как на основании ретроспективного анализа, так и в режиме реального времени.

3. Обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с индикатором компрометации.

4. Оповещение ответственных сотрудников Заказчика о новых индикаторах и результатах их обработки.

5. Распространение информации о индикаторе компрометации.

          Взаимодействие с внешними системами при обработке индикаторов компрометации осуществляется посредством универсальных коннекторов.

          Механизм коннекторов обеспечивает возможность создания соединения с внешними сервисами и системами с помощью следующих протоколов и механизмов:

-         DNS;

-         HTTP;

-         HTTPS;

-         PowerShell;

-         RPC;

-         SNMP;

-         SSH;

-         SSL;

-         TLS;

-         WMI;

-         механизм подключения к Microsoft SQL;

-         механизм подключения к MySQL;

-         механизм подключения к Oracle;

-         механизм подключения к PostgreSQL;

-         механизм подключения к Active Directory.

          Механизм коннекторов поддерживает следующие способы интерпретации команд на внешних сервисах и системах:

-         BASH-COMMAND;

-         BASH-SCRIPT;

-         BATCH;

-         CMD;

-         Java;

-         Javascript;

-         PowerShell;

-         Python;

-         REST-запросы;

-         SNMP;

-         SOAP;

-         запросы к базе данных MS SQL;

-         запросы к базе данных MySQL;

-         запросы к базе данных Oracle;

-         запросы к базе данных PostgreSQL.

          Модуль TIP платформы Securtiy Vision поддерживает возможность аналитики полученных данных посредством применения различных моделей обработки данных, как внутренних, так и внешних моделей, применяемых в процессах Заказчика.

 

Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных