Компания Security Vision сообщает о выходе новой версии продукта анализа угроз кибербезопасности и проведения киберразведки (TIP)

Продукт Threat Intelligence Platform (TIP) на платформе Security Vision v5 обеспечивает потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.

TIP предоставляет следующий функционал:

• Получение потока событий из решений различных классов (SIEM, NGFW, Proxy/e-mail-сервера, data lakes и др.), благодаря наличию большого количества готовых коннекторов, поддержке универсальных форматов (Syslog, CEF, LEEF, EMBLEM, Event log), а также удобного конструктора, который позволяет в режиме no-code настраивать новые интеграции;
• Автоматическую загрузку всех уровней индикаторов: технические (хэш-суммы, IP-адреса, URL, домены, e-mail, маски), тактические (ключи реестра, процессы и JARM), операционные (уязвимости, ВПО, пользовательские данные и др.) и стратегические;
• Интеграцию с десятками различных коммерческих и open-source фидами;
• Возможность обогащения как из внешних (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и др.), так и из встроенных источников MITRE ATT&CK;
• Встроенное реагирование и взаимодействие с СЗИ, в частности, запуск действий из инцидента и аналитического графа связей, без обязательного применения SOAR для автоматизации;
• Продвинутые механики обнаружения индикаторов: phishing и DGA-механизмы с использованием машинного обучения, match в потоке событий и retro-поиск по всем собранным данным или по определенным IoC.

В новой версии продукта:

• Существенно доработан движок глубокой аналитики киберугроз second match. Он обеспечивает вторичную проверку индикаторов компрометации (IoC). Механизм использует дополнительную корреляцию с внешними системами (SIEM, VM, IDS) и внутренними источниками данных, что позволяет формировать контекстно обогащённые события, уменьшая количество ложноположительных срабатываний, улучшая качество триажа и повышая эффективность реагирования на инциденты.
• Интегрирован пакет фидов от Security Vision, с ежедневным обновлением в объеме около 50К IoC. Он доступен без подписки и без ограничения по количеству запросов через API или веб-интерфейс (в том числе и в ЛК заказчика). Данный пакет имеет ключевые и оперативные фиды, которые позволяют сразу применять всю функциональность TIP из коробки. В него также входят фиды из Банка данных угроз безопасности информации ФСТЭК России, НКЦКИ, ФинЦЕРТ, которые учитывают специфику атак и угроз для российского сегмента. Получая российскую экспертизу в виде данных фидов предоставляется возможность перехода с помощью TIP от ручного и реактивного подхода к проактивному, когда угрозы, актуальные для российского сегмента, автоматически обнаруживаются в вашей сети в кратчайшие сроки. 
• Добавлена поддержка более десятка новых источников фидов. Новые источники данных киберразведки улучшают элементы анализа и обмена данными, совершенствуя общий пользовательский опыт эксплуатации TIP.
• Для принятия стратегических решений в продукте TIP много внимания уделяется работе с бюллетенями. Они помогают выявить тренды и спланировать стратегию защиты инфраструктуры, предоставляя оперативную информацию для аналитиков о новых угрозах с описанием индикаторов компрометации (хэши вредоносных файлов, подозрительные IP-адреса и домены, вредоносные URL-адреса), тактик, техник и процедур по методологии MITRE (т.е. как именно действует злоумышленник и что применяет для своих нелегитимных действий), оценки воздействия и рекомендации по реагированию. В продукте продолжает развиваться реализация автоматической интеграции и получения бюллетеней от отдельных поставщиков и агрегаторов. ML модели позволяют автоматически провести обработку бюллетеней и связку их с индикаторами конкретного обнаружения с возможностью просмотра из карточки инцидента или из графа расследования.
• Оптимизирован аналитический движок match для работы на больших потоках данных (от 100К EPS). Также в продукт добавлена возможность агентской схемы сбора данных с отдельных высоконагруженных серверов или серверов-коллекторов, что также оптимизирует обработку потоков данных.