В R-Vision TIP расширены возможности автоматизации и редактирования индикаторов компрометации
23/09/21
Компания R-Vision обновила платформу управления данными киберразведки R‑Vision Threat Intelligence Platform (TIP) до версии 1.20. В продукте появилась возможность массового редактирования индикаторов компрометации, добавлены новые поставщики данных о киберугрозах, расширен список доступных интеграций со средствами защиты, оптимизирована работа с объектами в Active Directory, а также повышена гибкость правил автоматизации.
Платформа R-Vision TIP 1.20 позволяет массово менять необходимые атрибуты сразу для нескольких индикаторов компрометации. Например, пользователи могут добавить к ним описание или теги, отредактировать временные метки и так далее. Эта функция поможет аналитикам SOC сэкономить время на выполнении рутинных задач и сосредоточиться на более сложных вопросах.
В новой версии продукта разработчики расширили количество поддерживаемых источников данных о киберугрозах. Теперь в платформе есть встроенная интеграция с рядом фидов от некоммерческой организации Shadowserver Foundation, которая собирает и анализирует данные о широком спектре угроз, включая вредоносное программное обеспечение и активность ботнетов. Фиды Shadowserver востребованы среди национальных групп реагирования на чрезвычайные ситуации в киберпространстве CERT и могут быть полезными телеком-операторам, имеющим собственные автономные сети.
Отдельный блок изменений касается взаимодействия платформы с другими средствами защиты. Теперь пользователи могут экспортировать из продукта необходимые выборки индикаторов компрометации в поддерживаемом формате для мониторинга и блокирования на межсетевых экранах UserGate. Также в платформе реализована поддержка новой версии системы выявления ИБ-инцидентов MaxPatrol SIEM.
Кроме того, разработчики значительно повысили отказоустойчивость платформы при подключении к ней большого количества объектов Active Directory. Это улучшение обеспечит стабильную работу R-Vision TIP в организациях enterprise-сегмента, где количество таких объектов может достигать нескольких сотен тысяч.
Изменения в платформе затронули и правила автоматизации. В них появилось новое условие, которое позволяет настроить срабатывание правила при изменении определенного атрибута. Яркий пример — отправка уведомления об инциденте в SOAR-систему при обновлении индикатора компрометации.
«Мы продолжаем расширять количество востребованных нашими пользователями источников TI, наращиваем возможности интеграции со средствами защиты, чтобы можно было удобно и быстро применять полученные данные TI в процессах проактивного мониторинга и блокирования угроз. Вместе с тем не забываем и про необходимость повышать удобство использования платформы, планомерно добавляя новую функциональность, которая помогает пользователям решать повседневные задачи быстрее и эффективнее», — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.