Security Vision TIP

Обзор продукта

Security Vision TIP использует источники внутри компании (SIEM, NGFW, proxy- и email-сервера и др.), различные фиды (коммерческие и open source), данные аналитических центров и универсальные форматы (Syslog, CEF, LEEF, EMBLEM, Event log) для быстрого анализа больших данных.

Аналитическая база формируется из поступающих в систему индикаторов компрометации (хэши, email-адреса и домены, IP и URL), атаки (ключи реестра, JARM и процессы), а также обогащается стратегическими атрибутами. Благодаря последним аналитик сможет проще и быстрее идентифицировать угрозу, злоумышленника, используемое им вредоносное ПО и уязвимости. Встроенные возможности реагирования позволят дополнить аналитику непосредственными действиями по защите периметра.

Подробнее

Модуль анализа угроз кибербезопасности и проведения киберразведки обеспечивает автоматический сбор индикаторов (компрометации, атаки, угрозы и др. типы) из внешних источников (поставщиков фидов и аналитических сервисов). После обработки и нормализации данных происходит обогащение для выстраивания взаимосвязей и ландшафта атаки, что даёт аналитику более подробную картину происходящего. Модуль в режиме реального времени осуществляет обнаружение индикаторов в трафике (в т.ч. с помощью машинного обучения), после чего предлагает ручное или автоматическое реагирование.

Основной функционал:
  • интеграция «из коробки» с коммерческими (Kaspersky, FAACT ex. Group IB, BI.Zone, RST Cloud) и open-source (Alien Vault, Feodo Tracker, DigitalSide) фидами;
  • все уровни индикаторов: технический (хэш, IP, URL, домен, email), тактический (процесс, JARM, ключ реестра), операционный (уязвимости, ВПО) и стратегический;
  • 50+ конфигураций коннекторов «из коробки» для получения потока событий из решений различных классов (SIEM, NGFW, Proxy/Email-сервера и др.);
  • поддержка кастомных коннекторов и универсальных форматов (Syslog, CEF, LEEF, EMBLEM, Event log);
  • возможность обогащения из внешних источников (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и др.) и встроенных БДУ ФСТЭК и MITRE ATT&CK;
  • продвинутые механики обнаружения индикаторов в потоке событий: DGAмеханизмы с использованием машинного обучения, match и retro-поиск по всем собранным данным;
  • встроенное реагирование без обязательного применения SOAR для автоматизации, в т.ч. запуск действий из аналитического графа связей.
Решение выявляет потенциальные угрозы информационной безопасности на ранней стадии. Модуль обеспечивает автоматический сбор индикаторов компрометации (Indicator of Compromise, IoC) из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией. Помимо классических IoC агрегируются индикаторы атак (Indicator of Attack, IoA), данные об угрозах, злоумышленниках и применяемого ими вредоносного программного обеспечения (ВПО), позволяя получить срезы данных на всех уровнях Threat Intelligence (TI).

Получение и обработка данных осуществляется посредством интеграции с сервисамипоставщиками с использованием механизмов универсальных коннекторов, позволяя:
  • получать информацию об индикаторах;
  • производить обработку и нормализацию полученной информации;
  • осуществлять фильтрацию;
  • обеспечивать дедупликацию данных;
  • создавать новую запись базе или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.
Модуль поддерживает форматы описания индикаторов компрометации MISP и STIX2, интеграцию для автоматической загрузки данных из матрицы MITRE ATT&CK, а также интеграции с различными решениями для сбора инфраструктурных событий и дальнейшего автоматического поиска в режиме реального времени.

Рабочий процесс обработки индикатора компрометации может осуществляться как автоматически, так и инициируемыми пользователем действиями в соответствии с утверждёнными в организации регламентами и процессами, включая:
  • обогащение дополнительными данными на основании внешних сервисов и информационных систем заказчика;
  • выявление угроз в инфраструктуре заказчика как на основании ретроспективного анализа, так и в режиме реального времени;
  • обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с возможной атакой.
В дополнение к любым возможным интеграциям с внешними системами и сервисами модуль включает встроенные коннекторы, которые не нуждаются в лицензировании:
  • SIEM (MicroFocus ArcSight (QueryViewer, Logger API Query, Syslog), KUMA (Syslog), MaxPatrol SIEM (API), IBM Qradar (Ariel Query, Reference Sets, Syslog);
  • почтовые сервера (Microsoft Exchange);
  • сетевые устройства с форматами отправки данных (CEF, LEEF, EMBLEM);
  • прокси сервера (Squid, Blue Coat);
  • источники данных об уязвимостях (CVE NIST, БДУ ФСТЭК, НКЦКИ);
  • песочницы (TrendMicro DDA, Kaspersky TIP, Kaspersky KATA, Virus Total);
  • системы отправки данных об инциденте (Security Vision SOAR, R-Vision SOAR, MaxPatrol SIEM. Kaspersky KUMA, ArcSight SIEM, IBM Qradar);
  • NGFW для отправки IP-адресов на блокировку (CheckPoint NGFW, Cisco ASA, Cisco Firepower, Cisco Switch, Juniper);
  • шлюзы безопасности электронной почты (Cisco IronPort ESA, FireEye, TrendMicro IMSVA).
Поддерживается обогащение индикаторов из внешних песочниц и аналитических сервисов, в случае их нахождения в инфраструктуре (IPGeolocation.io, KasperskyOpenTip, IPInfo.io, IpGeolocation.io (Whoisxmlapi), Shodan, VirusTotal, MaxMind Geo-IP, HaveiBeenPwned, URLScan.io).

Для уведомления по различным значимым событиям всех участников процесса предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений.

Для формирования отчётности и визуализации статистической информации в модуле предусмотрены интерактивные дашборды (включая географическую карту и другие способы визуализации), а также экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.

Другие продукты