Security Vision расширила функционал модуля Threat Intelligence Platform (TIP)

Security Vision сообщает о выходе нового релиза актуальной на сегодняшний день версии модуля Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой Заказчика и средствами защиты, обеспечивает ситуационную осведомленность.
Теперь пользователям доступно множество новых преимуществ, среди которых:
Широкий стек интеграций (50+ коннекторов):
· Встроенная интеграция с коммерческими поставщиками фидов (Kaspersky, Group IB, BI.Zone, RST Cloud)
· Встроенная интеграция бесплатными поставщиками фидов (Alien Vault, Feodo Tracker, DigitalSide)
· Автоматическое обогащение индикаторов из внешних сервисов (VirusTotal, Shodan, KasperskyOpenTIP и других)
· Встроенная интеграция с основными SIEM-системами, системами NGFW, прокси-серверами, почтовыми серверами, системами очередей событий, а также настроен универсальный прием потока данных по стандартным форматам (Syslog, CEF, LEEF, EBLEM, Event log)
· Возможность оперативно доработать дополнительный коннектор.
Работа с индикаторами:
· Поддерживается постоянная загрузка широкого спектра данных об угрозах: индикаторы компрометации, индикаторы атаки (ключи реестра, процессы, JARM) и стратегические атрибуции угрозы (вредоносное ПО, злоумышленники, угрозы)
· Глубоко проработаны связи между разными уровнями индикаторов (например, индикатор компрометации => угроза => злоумышленник), что позволяет быстро выстроить полную картину потенциальной угрозы
· Реализована система агрегации и дедупликации для поддержания актуальности и единообразия базы индикаторов
· Предоставляется возможность просмотра исходного формата индикатора
· Базы уязвимостей и бюллетеней предоставляют дополнительный контекст для анализа индикаторов.
Обнаружения:
· Реализовано несколько механизмов обнаружения подозрительной активности в инфраструктуре. В первую очередь, собственный движок обнаружений, который позволяет автоматически выполнять поиск индикаторов компрометации в потоке сырых событий от средств защиты и из инфраструктуры. Ретро-поиск дает возможность сопоставлять новые индикаторы компрометации с событиями, которые были ранее и хранятся в системе. Также реализован эвристический движок Domain Generation Algorithm (Алгоритм генерации доменов), который позволяет эффективно выявлять подозрительные доменные имена в инфраструктуре с помощью моделей машинного обучения
· Широкий спектр действий над индикаторами компрометации дает возможность оперативно отреагировать на созданное обнаружение
· Есть возможность создавать белые списки индикаторов для уменьшения количества ложных срабатываний
Анализ:
· Внедрена система скоринга, которая позволяет оценить критичность индикатора (если таковую не предоставил поставщик) на основе собственной модели расчета
· Применяется классификация индикаторов с помощью базы знаний техник MITRE ATT&CK и справочника OWASP, что позволяет выстроить цепочку взаимосвязей между потенциальными угрозами
· Граф, как дополнительный инструмент анализа, позволяет визуально отследить выстроенные связи между сущностями и быстро перейти на карточку нужного объекта
· Преднастроенные дашборды и отчеты помогают визуально оценить общую картину за необходимый период. В том числе реализована возможность выгрузить отчет по основным объектам напрямую с карточки объекта.
Подробнее о Security Vision TIP: https://www.securityvision.ru/blog/analiz-ugroz-i-kiberrazvedka-kakie-problemy-reshaet-obnovlennaya-...
Видео о Security Vision TIP: https://youtu.be/byYLxdQhZhM
- Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
- Федеральный закон № 161-ФЗ «О национальной платежной системе»
- Управление инцидентами ИБ (конспект лекции)
- Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
- Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
- Что такое IRP, где используется и как внедряется
- Защита критической информационной инфраструктуры (конспект лекции)
- Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
- Активы, уязвимости (конспект лекции)
- Управление рисками информационной безопасности (конспект лекции)
- SIEM системы (Security Information and Event Management) - что это и зачем нужно?
- SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
- Защита персональных данных (конспект лекции)
- КИИ - что это? Безопасность объектов критической информационной инфраструктуры
- DLP системы (Data Loss Prevention, ДЛП) - что это такое
- Управление доступом и учетными записями (конспект лекции)
- Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
- Системы и средства защиты информации (конспект лекции)
- Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
- Применение стандарта ISO 31000
- DDoS-атаки: что это такое и способы защиты от них
- Практика ИБ. Политики аудита безопасности Windows
- Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
- Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
- TIP и TI (Threat Intelligence или Киберразведка), что это такое