R-Vision Threat Intelligence Platform (TIP) представляет собой специализированную платформу управления данными киберразведки.

R-Vision TIP обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.

Индикаторы компрометации представляют собой специфичные признаки, позволяющие распознать потенциальную угрозу. К ним относятся IP-адреса, домены, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов и другие данные.

Подобные сведения помогают выявлять попытки проникновения в системы, обнаруживать целенаправленные атаки на ранних этапах и быть в курсе актуальных угроз.

Преимущества от использования

  • Упрощает работу с данными Threat Intelligence, осуществляя непрерывный сбор, нормализацию и хранение данных из различных источников в единой базе.
  • Облегчает выявление скрытых угроз, обеспечивая автоматический мониторинг релевантных индикаторов в SIEM, syslog и DNS-запросах с помощью сенсоров.
  • Упрощает и ускоряет расследование инцидентов за счет быстрого поиска информации в доступных источниках и автоматизации ключевых сценариев работы с данными киберразведки.
  • Позволяет вовремя блокировать угрозы и минимизировать возможный ущерб, благодаря автоматической выгрузке обработанных данных напрямую на внутренние средства защиты.

Ключевые возможности

Централизованный сбор данных киберразведки

R-Vision Threat Intelligence Platform агрегирует данные об угрозах из различных источников в автоматическом режиме. Система обладает встроенной интеграцией с площадками обмена данными об угрозах и сервисами:

  • IBM X-Force Exchange
  • AT&T Alien Labs Open Threat Exchange (OTX)
  • Group-IB Threat Intelligence
  • Kaspersky Threat Intelligence
  • ФинЦерт ЦБ РФ
  • Возможно подключение других источников

Обработка

В процессе обработки индикаторы нормализуются и приводятся к единой модели представления, дублирующиеся индикаторы связываются и объединяются.

Анализ взаимосвязей

Анализ взаимосвязей помогает аналитику правильно интерпретировать данные и сформировать целостную картину угрозы. R-Vision TIP собирает имеющуюся у поставщика информацию о связях индикаторов с другими индикаторами, а так же связанные:

  • Отчеты
  • Вредоносное ПО
  • Уязвимости

Обогащение индикаторов

R-Vision Threat Intelligence Platform позволяет обогащать индикаторы компрометации дополнительным контекстом, который отсутствует в исходных данных от поставщика. Более актуальные и полные сведения помогают аналитику принять решение о дальнейших действиях с индикаторами.

Поддерживаемые сервисы обогащения:

  • VirusTotal
  • Hybrid Analysis
  • OPSWAT Metadefender
  • Shodan
  • RiskIQ
  • MaxMind
  • Sypex
  • Ipgeolocation.io
  • Whois
  • и другие

Выгрузка на средства защиты

Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы. Предварительная обработка помогает снизить количество ложных срабатываний, которые могут возникать при использовании сырых данных.

Поддерживается автоматическая выгрузка индикаторов на оборудование

  • Cisco
  • PaloAlto Networks
  • Check Point
  • и другие средства защиты

Поиск и обнаружение в инфраструктуре

Система обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и при их обнаружении рассылает оповещения.

Автоматизация сценариев

R-Vision Threat Intelligence Platform позволяет реализовать необходимый сценарий работы с индикаторами в виде заданной последовательности действий и его автоматизировать. В сценарий могут входить такие действия как: обогащение, обнаружение, распространение на средства защиты, оповещение.

Связаться с нами

Отправить