R-Vision Threat Intelligence Platform (TIP) представляет собой специализированную платформу управления данными киберразведки.
R-Vision TIP обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.
Индикаторы компрометации представляют собой специфичные признаки, позволяющие распознать потенциальную угрозу. К ним относятся IP-адреса, домены, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов и другие данные.
Подобные сведения помогают выявлять попытки проникновения в системы, обнаруживать целенаправленные атаки на ранних этапах и быть в курсе актуальных угроз.
R-Vision Threat Intelligence Platform агрегирует данные об угрозах из различных источников в автоматическом режиме. Система обладает встроенной интеграцией с площадками обмена данными об угрозах и сервисами:
В процессе обработки индикаторы нормализуются и приводятся к единой модели представления, дублирующиеся индикаторы связываются и объединяются.
Анализ взаимосвязей помогает аналитику правильно интерпретировать данные и сформировать целостную картину угрозы. R-Vision TIP собирает имеющуюся у поставщика информацию о связях индикаторов с другими индикаторами, а так же связанные:
R-Vision Threat Intelligence Platform позволяет обогащать индикаторы компрометации дополнительным контекстом, который отсутствует в исходных данных от поставщика. Более актуальные и полные сведения помогают аналитику принять решение о дальнейших действиях с индикаторами.
Поддерживаемые сервисы обогащения:
Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы. Предварительная обработка помогает снизить количество ложных срабатываний, которые могут возникать при использовании сырых данных.
Поддерживается автоматическая выгрузка индикаторов на оборудование
Система обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и при их обнаружении рассылает оповещения.
R-Vision Threat Intelligence Platform позволяет реализовать необходимый сценарий работы с индикаторами в виде заданной последовательности действий и его автоматизировать. В сценарий могут входить такие действия как: обогащение, обнаружение, распространение на средства защиты, оповещение.