Функционал модуля TIP платформы Securtiy Vision обеспечивает автоматический сбор индикаторов компрометации (IoC) из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией, а также обработку полученной информации – добавление исключений в настройки средств защиты, выявление индикаторов в инфраструктуре Заказчика, оповещение заинтересованных лиц и дальнейшее распространение информации.
Получение индикаторов компрометации осуществляется посредством интеграции с сервисами – поставщиками с использованием механизмов универсальных коннекторов. Функционал коннекторов позволяет:
- получать информацию об индикаторах компрометации;
- производить обработку и нормализацию полученной информации;
- осуществлять фильтрацию полученной информации;
- обеспечивать дедупликацию полученной информации;
- создавать новую запись индикатора в базе индикаторов компрометации или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.
Функционал коннекторов позволяет осуществлять сбор информации из различных сервисов и систем посредством следующих способов и протоколов:
- обработка файлов в форматах XML, JSON, CSV, TXT, Binary;
- REST;
- SOAP;
- IMAP;
- POP3;
- MS SQL;
- MySQL;
- PostgreSQL;
- Syslog.
Функционал модуля позволяет осуществлять обработку полученных индикаторов по настраиваемым рабочим процессам. Рабочий процесс обработки индикатора компрометации позволяет выполнять как автоматические, так и инициируемые пользователям действия в соответствии с утверждёнными в организации процессами. В рамках обработки производится:
1. Обогащение индикатора дополнительными данными на основании внешних сервисов и информационных систем Заказчика.
2. Выявление индикатора компрометации в инфраструктуре Заказчика, как на основании ретроспективного анализа, так и в режиме реального времени.
3. Обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с индикатором компрометации.
4. Оповещение ответственных сотрудников Заказчика о новых индикаторах и результатах их обработки.
5. Распространение информации о индикаторе компрометации.
Взаимодействие с внешними системами при обработке индикаторов компрометации осуществляется посредством универсальных коннекторов.
Механизм коннекторов обеспечивает возможность создания соединения с внешними сервисами и системами с помощью следующих протоколов и механизмов:
- DNS;
- HTTP;
- HTTPS;
- PowerShell;
- RPC;
- SNMP;
- SSH;
- SSL;
- TLS;
- WMI;
- механизм подключения к Microsoft SQL;
- механизм подключения к MySQL;
- механизм подключения к Oracle;
- механизм подключения к PostgreSQL;
- механизм подключения к Active Directory.
Механизм коннекторов поддерживает следующие способы интерпретации команд на внешних сервисах и системах:
- BASH-COMMAND;
- BASH-SCRIPT;
- BATCH;
- CMD;
- Java;
- Javascript;
- PowerShell;
- Python;
- REST-запросы;
- SNMP;
- SOAP;
- запросы к базе данных MS SQL;
- запросы к базе данных MySQL;
- запросы к базе данных Oracle;
- запросы к базе данных PostgreSQL.
Модуль TIP платформы Securtiy Vision поддерживает возможность аналитики полученных данных посредством использования различных внутренних и внешних моделей обработки данных, применяемых в процессах Заказчика.