TIP

Threat Intelligence Platform

Анализ угроз кибербезопасности и проведение киберразведки

TI, Threat Hunting, фиды, анализ угроз, киберразведка, IoC, IoA, угрозы, ВПО

Обзор продукта

Сбор и анализ данных об угрозах кибербезопасности, их обогащение, обнаружение в инфраструктуре, а также расследование и реагирование.

Security Vision TIP использует источники внутри компании (SIEM, NGFW, proxy- и email-сервера и др.), различные фиды (коммерческие и open source), данные аналитических центров и универсальные форматы (Syslog, CEF, LEEF, EMBLEM, Event log) для быстрого анализа больших данных.

Аналитическая база формируется из поступающих в систему индикаторов компрометации (хэши, email-адреса и домены, IP и URL), атаки (ключи реестра, JARM и процессы), а также обогащается стратегическими атрибутами. Благодаря последним аналитик сможет проще и быстрее идентифицировать угрозу, злоумышленника, используемое им вредоносное ПО и уязвимости. Встроенные возможности реагирования позволят дополнить аналитику непосредственными действиями по защите периметра.

Применение продукта

Обработка индикаторов различных уровней

Аналитическая база формируется всех уровнях анализа угроз: технический (хэш, IP-адрес, URL, домен, email), тактический (процесс, JARM, ключ реестра), операционный (уязвимости, ВПО) и стратегическом (стратегическая атрибуция данных о злоумышленниках и угрозах)

Обработка событий в инфраструктуре

50+ коннекторов (с возможностью разрабатывать новые) для получения событий из решений различных классов (SIEM, NGFW, Proxy/Email-сервера и др.), при помощи универсальных форматов (Syslog, CEF, LEEF, EMBLEM, Event log), а также оптимизация данных для долгосрочного хранения

Продвинутые механики обнаружения и реагирование

DGA-механизмы с использованием машинного обучения, match и retro-поиск по собранным данным обнаруживают совпадение по любым параметрам объектов

Примеры и интеграции

Источники фидов для организаций разного масштаба

Поддерживаются коммерческие подписки:
• Kaspersky;
• Group IB;
• BI.Zone;
• RST Cloud;
и open-source источники данных об индикаторах:
• Alien Vault;
• Feodo Tracker;
• DigitalSide.

Выбор источников позволяет комбинировать данные в рамках единых карточек, а частота загрузки гранулярно настраивается по рекомендациям поставщиков для фидов накопительного и обычного типов.

Внешние аналитические сервисы

Решение обеспечивает автоматическое обогащение индикаторов при помощи MITRE ATT&CK и различных сервисов аналитики:
• VirusTotal;
• Shodan;
• KasperskyOpenTIP;
• IPgeolocation.io;
• IPInfo.io;
• MaxMind Geo-IP;
• HaveiBeenPwned;
• LOLBAS;
и др.

Визуализация и аналитика

Обнаружения, входящие в них объекты и индикаторы разного типа при помощи графов связей указывают на очевидные и неочевидные взаимосвязи. Графы и табличные представления позволяют запускать команды реагирования во время работы аналитика, например:
• отправка и вывод объекта из списка на блокировку;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия.

Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.