كيف تعمل منصات تحليل المعلومات حول التهديدات والوظائف التي توفرها البرامج المتقدمة من هذا المجال ؛ مقارنة المنتجات بناءً على الجدول التحليلي ROI4CIO .
إن الزيادة المجنونة في عدد التهديدات المتقدمة (APTs) وزيادة كمية البيانات التي يجب معالجتها لاكتشاف الهجمات تجعل عمل محللي الأمن أكثر صعوبة كل يوم. في السنوات الأخيرة ، غالبًا ما كانت وظيفة مهندس أمن المعلومات هي التدقيق يدويًا في مئات التنبيهات في محاولة للعثور على تهديدات حقيقية. بسبب مجموعات البيانات التي تنشئها المؤسسات ، لم تعد فرق البحث اليدوي عن التهديدات فعالة. يتم استخدام الموارد والبرامج لمكافحة هذه المشكلة ، ولكن غالبًا ما يتم إعاقة إدخال أدوات جديدة من خلال الاندماج في البنية التحتية للمؤسسة.
تعمل منصة ذكاء التهديدات على أتمتة وإضافة سياق إلى معلومات التهديدات الأساسية - الخلاصات. الخلاصات عبارة عن تدفقات من البيانات مع مؤشرات الاختراق ، والتي يتم من خلالها تحديد تهديد محتمل: تجزئات الملفات الضارة وعناوين IP والمجالات المرتبطة بالنشاط الإجرامي. تعمل أتمتة العمليات على تحرير القوى العاملة المثقلة بالأعباء ، وتوفر أدوات تحليل دقيقة في الوقت الفعلي للاستجابة بسرعة ودقة للتهديدات.
ظهرت منصات استخبارات التهديدات بسبب كمية البيانات المتاحة - داخليًا وخارجيًا - حول تهديدات أمن تكنولوجيا المعلومات الحالية والناشئة. تحتفظ الشركات التي تراقب التهديدات ، مثل تحديث منتجات مكافحة الفيروسات ، بقواعد بيانات التهديدات العالمية لسنوات عديدة ، وتتألف من وكلاء البرامج الذين يعملون على ملايين أجهزة الكمبيوتر العميلة والأجهزة الأخرى. تشكل هذه البيانات ، جنبًا إلى جنب مع الخلاصات من مصادر أخرى ، أدوات النظام الأساسي.
ما هي منصة استخبارات التهديد؟
منصة تحليل التهديدات ( Threat Intelligence Platform ، TIP ) - حل برمجي تستخدمه المؤسسات لاكتشاف ومنع وإزالة التهديدات لأمن المعلومات. تدمج المنصة العديد من قنوات استخبارات التهديدات ، وتقارن بالأحداث السابقة ، وتقوم بإنشاء تنبيهات لفريق الأمن. تتكامل TIPs مع حلول معلومات الأمان وإدارة الأحداث (SIEM) الحالية وتعيين قيم للتنبيهات ، مع تحديد أولوياتها وفقًا للإلحاح.
تتمثل ميزة النظام الأساسي في قدرة فرق أمن المعلومات على مشاركة المعلومات بأمان حول الأمن السيبراني للمؤسسات مع الإدارات الأخرى وخبراء الأمن الخارجيين. يقوم النظام بجمع وتحليل بيانات التهديد ، وتنسيق تكتيكات وإجراءات أصحاب المصلحة. عندما يكتشف فريق الأمن تهديدًا ، تشارك جميع الإدارات ذات الصلة في التحقيق. بفضل هذه القدرة على مزامنة الإجراءات وإدارة الجهود ، لا غنى عن النظام الأساسي في اللحظات الحرجة.
لماذا تحتاج إلى منصة؟
على عكس الأفلام ، حيث يلحق المتسللون ضررًا فوريًا ، في الحياة ، يمكن للقراصنة الاختباء على شبكتك لفترة طويلة. في هذا الصدد ، يعمل الأمن على تغيير تركيزه من الحماية والرد إلى الإجراءات الوقائية - ليس للقضاء على عواقب الهجوم ، ولكن للعثور على التهديدات والقضاء عليها قبل التسبب في أي ضرر. ضع في اعتبارك المهام التي تؤديها المنصة.
أتمتة المهام الروتينية وإخلاء الوقت
أظهر استطلاع حديث أجراه معهد بونيمون لموظفي أمن تكنولوجيا المعلومات أن 84٪ من المشاركين يعتقدون أن معلومات التهديد يجب أن تكون جزءًا أساسيًا من أنظمة الأمان القوية. وفقًا لمخطط تنظيم الدولة التقليدي ، تجري الفرق بحثًا متكررًا على أجهزة الإنذار لتمييز التهديدات الحقيقية عن الإيجابيات الكاذبة. في الوقت نفسه ، تزود المنصة الفرق بمعلومات غنية بالفعل لتحديد نوع وشدة التهديد ، مع تجاهل التنبيهات الخاطئة تلقائيًا.
تحسين دقة الذكاء الخاص بالتهديدات
أحد أسباب ضعف أداء الأشخاص في المهام الروتينية المتكررة هو أن عيونهم تصبح ضبابية في مرحلة ما ، وفي النهاية يحدث خطأ في المعالجة. تقلل المنصة من احتمال حدوث مثل هذه الأخطاء إلى الصفر.
العثور على نقاط الضعف الخاصة بك في
كثير من الأحيان ، تهتم فرق الأمان بالتهديدات الخارجية أكثر من التهديدات الداخلية. تفحص TIP نقاط الضعف وتحذر من نقاط الضعف في البنية التحتية لتكنولوجيا المعلومات والنظام البيئي التابع لجهة خارجية ، مما يساعد على معالجة نقاط الضعف بشكل استباقي وتقوية النظام.
تسريع معالجة البيانات
عمليات معالجة البيانات اليدوية شاقة وتستغرق وقتًا طويلاً. يصبح هذا عاملاً حاسمًا أثناء الهجوم ، عند الحاجة إلى رد فعل فوري لاحتواء الاختراق.
ضمان استجابة متسقة للتهديدات
توفر المنصة الآلية معلومات الأمان ذات الصلة لكل من يشارك في عملية الدفاع السيبراني في الشركة. هذا يعني أن الفريق بأكمله يتلقى المعلومات الضرورية في نفس الوقت ، وسيتم تنسيق الإستراتيجية والعمليات الأمنية.
مبدأ التشغيل
تخدم منصات استخبارات التهديدات ثلاث وظائف رئيسية:
- التجميع هو مجموعة من القنوات تنتقل من خلالها المعلومات حول التهديدات إلى موجز مركزي.
- التحليل - معالجة البيانات باستخدام مؤشرات لتحديد التهديدات الأمنية وتحديدها.
- الإجراء - أبلغ فرق الاستجابة للحوادث ببيانات التهديد.
يتم تنفيذ هذه الوظائف بواسطة النظام الأساسي من خلال أتمتة سير العمل لدورة حياة نظام الأمان بالكامل. المراحل المتعلقة بدورة حياة أمن معلومات التهديد:
جمع
تلخيص البيانات من قنوات متعددة بما في ذلك STIX و XML و JSON و OpenIOC. من المهم تضمين البيانات من المصادر الداخلية مثل مدونات الويب والمصادر الخارجية مثل الإنترنت والويب المظلم. كلما كانت الخلاصات أعمق وأفضل ، زادت فعالية النظام الأساسي.
الارتباط تقوم
عملية TIP الآلية بفرز وتنظيم البيانات باستخدام بيانات تعريف العلامة وتزيل المعلومات غير ذات الصلة أو الزائدة عن الحاجة. ثم هناك مقارنة مع المعلومات الخاضعة للإشراف والأنماط والمراسلات الموجودة لاكتشاف التهديدات.
السياق
السياق هو عامل أساسي في استخبارات التهديد. بدونها ، من السهل الخلط بين الشذوذ والتهديد ، والعكس صحيح ، لتجاهل التهديد الحقيقي. في هذه المرحلة ، يقدم TIP سياقًا للبيانات التي تم فرزها للتخلص من الإيجابيات الخاطئة عن طريق إضافة المواصفات - عناوين IP وقوائم حظر الشبكة والمجال ، مما يوفر للفرق أكبر قدر ممكن من المعلومات حول التهديد المحتمل.
تحليل التهديدات
يحلل TIP مؤشرات التهديد في الوقت الفعلي لعلاقات البيانات. يمكن بعد ذلك "تداول" هذه المعلومات من قبل محللي الأمن من أجل العثور على التهديدات الخفية.
دمج
تتكامل منصات معلومات التهديدات مع أدوات الأمان التي تستخدمها المنظمة لتعظيم تدفق المعلومات. في هذه المرحلة ، تقوم المنصة بنقل البيانات التي تم جمعها وتحليلها إلى الإدارات المناسبة لمعالجتها.
عندما تكتشف المنصة تهديدًا ، يتم إرسال تحذير إلى مجموعة أمن المعلومات حول الحاجة إلى بدء الاستجابة للحادث.
الإجراء
يستجيب النظام الأساسي الفعال لذكاء التهديدات. شركاء TIPs الشاملون مع مراكز تبادل المعلومات وتحليلها (ISAC) ومنظمات تبادل المعلومات وتحليلها (ISAO) لتزويدهم بالمعلومات التي يحتاجون إليها لتطوير أدوات وتطبيقات الأمان.
نماذج تسليم البائعين
مقدمو خدمة استخبارات التهديدات هم من الوافدين الجدد نسبيًا على صناعة الأمن ، لذلك لا تزال أنواع الخدمات المقدمة تختلف كثيرًا.
تقدم بعض هذه الخدمات موجزات فقط تم مسحها من الإيجابيات الكاذبة. توفر الخدمات المدفوعة الأكثر شيوعًا خلاصات مجمعة ومترابطة (اثنتان أو أكثر) ، وتنبيهات وتنبيهات مخصصة خاصة بمشهد مخاطر العميل.
نوع آخر من خدمات استخبارات التهديدات يجمع البيانات ويربطها ويدمج المعلومات تلقائيًا في الأجهزة الأمنية - جدران الحماية ومعلومات الأمان وإدارة الأحداث وتقييمات تهديدات الصناعة والاستشارات الأمنية.
يتوفر كل نوع من الأنظمة الأساسية لذكاء التهديدات على أساس الاشتراك ، وعادةً ما يكون بمستويين أو ثلاثة مستويات تسعير ، ويتم تقديمها عبر السحابة ، أو نادرًا ما تكون داخل المؤسسة أو مختلطة.
نظرًا لارتفاع تكلفة هذه المنصات ، وكذلك بسبب الحاجة إلى معدات للنشر المحلي ، تستهدف هذه الخدمات الآن المؤسسات والشركات الكبيرة. ومع ذلك ، مع توسع الخدمات السحابية إلى قطاعات السوق الأدنى ، ستصبح أدوات الاستخبارات الخاصة بالتهديدات أكثر سهولة أيضًا.
تختلف تكلفة المنصات بقدر تكلفة أجهزة استخبارات التهديد نفسها. يمكن أن تكلف روابط البيانات وحدها آلاف الدولارات شهريًا ، لكن التكاليف المرتبطة بها تشمل تكلفة الحفاظ على مركز عمليات أمنية يعمل على مدار الساعة طوال أيام الأسبوع ويعمل به فنيون ومحللون. وبالمقارنة ، فإن خدمات الأمن المُدارة تكلف عادةً عشرات الآلاف من الدولارات شهريًا. تتطلب الخدمات الأقل تكلفة مزيدًا من الوقت والجهد البشري من جانب العميل.
نظرًا لأن خدمات استخبارات التهديدات مختلفة تمامًا عن بعضها البعض ، فإن التحدي الرئيسي في الاختيار هو فهم كيفية استخدام المعلومات وامتلاك الموظفين اللازمين لاستخدام هذه الخدمة بشكل صحيح.
قارنا ستة منصات ROI4CIO لاستخبارات التهديدات بناءً على الخصائص التالية:
- موردي العلف الخاصة بهم أو مراكز تحليل المعالجة المسبقة للأعلاف ؛
- عدد موردي العلف خارج الصندوق ؛ طرق مدعومة لتلقي الأعلاف ؛
- إمكانية إثراء البيانات من مصادر خارجية (على سبيل المثال - WHOis و PassiveDNS و VirusTotal وما إلى ذلك) ؛
- البحث عن التطابقات في أحداث SIEM ؛
- الاستجابة المباشرة للحوادث من خلال التكامل مع أنظمة أمن المعلومات التابعة لجهات خارجية ؛
- الاستجابة للحوادث باستخدام خوارزميات معقدة (قواعد اللعبة) ؛
- القدرة على التكامل عبر REST API ؛
- القدرة على بناء رسم بياني للروابط بين كائنات التغذية والتحف الداخلية.
ThreatQ بواسطة ThreatQuotinet
ThreatQ عبارة عن منصة معلومات تهديدات مفتوحة وقابلة للتوسيع تزود فرق الأمن بالسياق والتخصيص المتقدم الذي يحتاجون إليه لتحسين الأمان وإجراء عمليات إدارة وتخفيف التهديدات الناجحة.
يعطي المنتج من ThreatQuotient ، وهي شركة أمن رقمي تأسست في 2013 ، الأولوية للتهديدات وأتمتة العمليات لدعم اتخاذ القرار مع تحقيق أقصى استفادة من الموارد المحدودة. تتخصص الشركة في الاستجابة للحوادث ، والبحث عن التهديدات ، ومكافحة التصيد الاحتيالي ، وفرز التنبيهات ، وإدارة نقاط الضعف.
منصة ThreatQ هي الحل الرائد لشركة ThreatQuotient. توفر المنصة لمحللي SOC واختصاصيي الاستجابة للحوادث والمحللين المرونة والرؤية والتحكم من خلال توفير السياق والحفاظ على البيانات محدثة.
كيف تعمل
The Solution Threat Library هي مستودع مركزي لذكاء التهديدات الخارجية الذي يتم إثرائه ومضاعفته ببيانات الأحداث والتهديدات الداخلية للحصول على معلومات محدثة وسياقية مخصصة لبيئة عملك الفريدة.
باستخدام مكتبة التهديدات المتكاملة ومنضدة العمل التكيفية و Open Exchange وتحقيقات ThreatQ ، يمكن لمحللي التهديدات اكتشاف والتحقيق والتصرف بشكل أسرع من مركز عمليات الأمان.
يعمل ThreatQ مع العمليات والتقنيات الحالية لديك لتحسين كفاءة البنية التحتية الحالية - يمنح النظام الأساسي العملاء مزيدًا من المعلومات حول موارد الأمان الخاصة بهم. تضيف مكتبة Open Exchange ThreatQ قيمة إلى استثمارات الأمان الحالية من خلال واجهات متوافقة مع معايير الصناعة و SDK / APIs للتخصيص والأداة والأوامر وتكامل سير العمل. خصائص
الواجهة الخاصة بموردي التغذية / المراكز التحليلية للمعالجة المسبقة للأعلاف: حاليًا عدد موردي التغذية خارج الصندوق: أكثر من 100 طريقة مدعومة لتلقي الخلاصات: CSV ، JSON إمكانية إثراء البيانات من مصادر خارجية (على سبيل المثال - WHOis ، PassiveDNS ، VirusTotal ، إلخ. .):
الحاضر
البحث عن التطابقات في أحداث SIEM: تقديم
استجابة مباشرة للحوادث من خلال التكامل مع أنظمة أمن المعلومات التابعة لجهات خارجية:
الاستجابة الحالية للحوادث باستخدام خوارزميات معقدة (قواعد اللعبة):
إمكانية تقديم التكامل عبر REST API:
إمكانية تقديم رسم بياني للروابط بين كائنات الخلاصة والتحف الداخلية : الحاضر
ThreatStream بواسطة Anomali
يتكامل Anomali مع SIEM ومصادر السجل الأخرى ، مما يحافظ على الرؤية التاريخية دون تكرار السجل. يتم تحليل البيانات التاريخية باستمرار ، مقارنة ببيانات التهديد الجديدة والحالية لتحديد علامات الانتهاكات.
Anomali ThreatStream عبارة عن منصة استخباراتية للتهديدات SaaS يمكن نشرها محليًا كآلة افتراضية. تتضمن الأداة أكثر من 140 قناة مفتوحة المصدر وتجعل من السهل تضمين القنوات التجارية من خلال Anomali APP Store.
الميزة الرئيسية لمنصة ThreatStream هي لوحة تحكم التحقيق ، والتي تُستخدم لتغمر نفسك في تهديدات الاهتمام. هنا يمكنك بسهولة إنشاء تحقيقات جديدة عند إضافة العناصر المرئية المطلوبة - فقط قم بتعيينها إلى مستخدم أو مجموعة عمل ، وإذا لزم الأمر ، استخدم تكامل ThreatStream مع ServiceNow لتعيين بطاقة.
مخطط العمل
يتضمن ThreatStream وضع حماية مدمج يسمح لك بتحميل الملفات وتحليلها. يمكنك أيضًا استيراد تقارير الاستخبارات أو قوائم IoCs. يتكامل المنتج مع العديد من نماذج SIEM الشائعة ، ويتضمن وظيفة إدارة الحالة لتعيين مهام البحث ، ودعم سير عمل المحلل ، ويسمح لك بالتعاون مع شركاء موثوق بهم. باستخدام ThreatStream Link ، يمكن تبادل البيانات مباشرة مع الأجهزة في المؤسسة.
بالإضافة إلى مؤشرات مراقبة الملكية ، تأخذ المنصة موجز ويب وتثريها بمعلومات من مصادرها الخاصة ، وتصور المعلومات وتقسيمها إلى أجزاء مكونة لفهم أفضل.
يتم إصدار تقارير التحقيق بتنسيق STIX أو Kill Chain أو Diamond. تتكامل المنصة مع Splunk ، مما يوفر أدوات مفيدة إضافية. خصائص
الواجهة الخاصة بموردي التغذية / المراكز التحليلية للمعالجة المسبقة للتغذية: حاليًا عدد موردي التغذية خارج الصندوق: أكثر من 100 طريقة مدعومة لتلقي الخلاصات: CSV و JSON و HTTP إمكانية إثراء البيانات من المصادر الخارجية (على سبيل المثال - WHOis و PassiveDNS و VirusTotal وآخرون): تقديم البحث عن التطابقات في أحداث SIEM: تقديم استجابة مباشرة للحوادث من خلال التكامل مع أنظمة أمن المعلومات التابعة لجهات خارجية: موجود
الرد على الحوادث باستخدام خوارزميات معقدة (قواعد اللعبة): لا
ينطبق إمكانية تكامل واجهة برمجة تطبيقات REST: الحالية
إمكانية إنشاء رسم بياني لروابط كائنات الخلاصة والتحف الداخلية: موجود
منصة EclecticIQ
EclecticIQ هي عبارة عن منصة تمكّن المحللين من إجراء تحقيقات أسرع وأفضل وأكثر عمقًا أثناء نشر الذكاء بسرعة الآلة.
تعالج منصة EclecticIQ كلاً من بيانات التهديدات المنظمة وغير المهيكلة من المصادر المفتوحة وشركاء الصناعة والموارد الداخلية ، والتي يتم دمجها في لوحة معلومات واحدة. يمكن نشر النظام الأساسي في السحابة وفي أماكن العمل.
EclecticIQ لا يستخدم طريقة جمع البيانات. بدلاً من ذلك ، توظف الشركة فريقًا من المحللين الذين يحققون باستمرار في التهديدات لجمع كل المعلومات الاستخبارية بتنسيق منظم وتقديم نظرة عامة كاملة مع حلول عملية.
مخطط العمل
الحل هو نظام أساسي للمستهلك والإنتاج. هنا يمكن للمحللين إنشاء مساحة عمل لحادث فردي ، والتي ستحتوي على جميع التحقيقات المتعلقة به. بمجرد الانتهاء ، يمكن للمؤسسة أرشفة مساحة العمل وجعلها نشطة مرة أخرى إذا تكرر الحادث.
يمكن لفرق الأمان تكوين تنبيهات الاكتشاف لمرافقة ظهور التهديدات التي تتم مراقبتها حاليًا. كما ينظم إعداد التنبيهات للبحث عن كيانات معينة (عائلات البرامج الضارة والجهات الفاعلة في التهديد وما إلى ذلك) والإشارة إلى أي متغيرات تهديد واردة تتعلق بهذه الكيانات.
توضح ميزة Report Builder بيئة إنتاج EclecticIQ. يمكنه إنشاء تقارير بناءً على خيارات محددة ، ويمكن للمحللين بسهولة إضافة المعلومات والسياق إلى التقرير. يستخدم الحل TLP لمنع انتشار المعلومات خارج النظام الأساسي. خصائص
الواجهة الخاصة بموردي التغذية / مجموعات التفكير الخاصة بمعالجة الخلاصة: حاليًا عدد موردي التغذية خارج الصندوق: 20-100 طرق مدعومة لتلقي الخلاصات: CSV و JSON و HTTP إمكانية إثراء البيانات من المصادر الخارجية (على سبيل المثال - WHOis و PassiveDNS VirusTotal ، وما إلى ذلك): موجود بحث عن التطابقات في أحداث SIEM: موجود
استجابة مباشرة للحوادث التي كتبها التكامل مع أنظمة أمن المعلومات الطرف الثالث: الحالية
الاستجابة للحوادث باستخدام خوارزميات معقدة (كتيب خطة اللعب): N / A
إمكانية التكامل عبر REST API: الحالية
إمكانية لبناء الرسم البياني للروابط بين الأشياء الأعلاف والتحف الداخلية: الحاضر
منصة ThreatConnect
تم تصميم منصة ThreatConnect لفهم عقلية الخصوم وأتمتة سير العمل وتخفيف التهديدات باستخدام الذكاء. يقدم ThreatConnect مجموعة من المنتجات المبنية على منصة تحليلية آلية.
توفر منصة ThreatConnect القدرة على أتمتة تجميع مصادر استخبارات التهديدات ، وتحرير الفرق من المهمة الروتينية المتمثلة في جمع البيانات. بناءً على إمكانات تجميع البيانات ، يتكامل ThreatConnect مع مجموعة متنوعة من الأدوات والخدمات التحليلية لزيادة تبسيط وأتمتة العمل الجماعي. النشر على السحابة أو في أماكن العمل متاح. هناك خيار التزامن لمن يتطلعون إلى نشر نظام عبر بيئات متعددة.
مخطط العمل
مجموعة أبحاث ThreatConnect - محللون مشهورون عالميًا في مجال الأمن السيبراني يقدمون باستمرار معلومات استخباراتية جديدة. تضم المجموعة أفضل المحللين في الصناعة من وكالات الاستخبارات والدوائر التحليلية الأكثر استنارة. إنهم يشرفون على مصدر للمعلومات ، TC Identify ، والذي يوفر معلومات استخباراتية عن التهديدات تم التحقق منها من أكثر من 100 مصدر مفتوح وبيانات حشد من عشرات المجتمعات.
يسمح ThreatConnect لفرق الأمان بإنشاء وتخصيص لوحات المعلومات لتلبية احتياجات محددة ، بينما توفر لوحة المعلومات الرئيسية تصورًا سريعًا للمقاييس التي تمت ملاحظتها مؤخرًا والموضوعات الشائعة.
توفر لوحة Playbook الخاصة بالمنصة مئات من خيارات التطبيق لأتمتة معالجة أي إجراء تقريبًا. يمكن للعملاء إنشاء تطبيقاتهم الخاصة أو تعديل التطبيقات الموجودة. يدعم النظام الأساسي التصفية المتطورة بعلامات لتصنيف العناصر حسب السلوك والجغرافيا ومجموعة من الخصائص الأخرى. يمكن للمحللين التعاون في صفحة تفاصيل تقرير الحادث.
يدعم النظام الأساسي تكاملات SIEM المتعددة ، لا سيما Splunk ، مما يؤدي إلى إنشاء اتصال ثنائي الاتجاه بين ThreatConnect و Splunk ، لذلك تنتقل معلومات التهديد مباشرة إلى Splunk ، حيث يمكن للفرق عرض ملخصات التهديدات وغيرها من المعلومات. ميزات
الواجهة الخاصة بموردي التغذية / المراكز التحليلية للمعالجة المسبقة للأعلاف:
الحالي
عدد مزودي التغذية خارج الصندوق: أكثر من 100
طريقة مدعومة لتلقي الخلاصات: CSV و JSON و HTTP
إمكانية إثراء البيانات من مصادر خارجية (على سبيل المثال - WHOis و PassiveDNS و VirusTotal وما إلى ذلك): الحاضر
البحث عن التطابقات في أحداث SIEM: الحاضر
المباشر الاستجابة للحوادث من خلال التكامل مع أنظمة أمن المعلومات التابعة لجهات خارجية: تقديم الاستجابة للحوادث
باستخدام خوارزميات معقدة (قواعد اللعبة): لا
ينطبق إمكانية التكامل عبر واجهة برمجة تطبيقات REST:
إمكانية تقديم رسم بياني للروابط بين عناصر التغذية والتحف الداخلية: موجود
منصة ذكاء التهديدات من R-Vision
R-Vision TIP هي عبارة عن منصة تتيح لك أتمتة مجموعة مؤشرات التسوية من قنوات التبادل التجارية والحرة ، ومعالجتها وإثرائها بالمعلومات واستخدامها في أنظمة الأمن الداخلي للكشف في الوقت المناسب عن التهديدات والتحقيق في الحوادث.
R-Vision هي مطور أنظمة الأمن السيبراني الروسي الذي طور منذ عام 2011 حلولًا وخدمات لمواجهة التهديدات السيبرانية الحالية وضمان إدارة موثوقة لأمن المعلومات.
توفر منصة الشركة ، R-Vision TIP ، التجميع التلقائي ، وتطبيع وإثراء مؤشرات التسوية ، ونقل البيانات المعالجة إلى إجراءات الأمان الداخلية ، والبحث عن المؤشرات في البنية التحتية للمؤسسة باستخدام أجهزة الاستشعار وكشفها.
تتضمن مصادر المعلومات المدعومة حول التهديدات البيانات من FinCERT التابع للبنك المركزي للاتحاد الروسي و Kaspersky و Group-IB و IBM X-Force Exchange و AT&T Cybersecurity. تسمح مجموعة من أجهزة الاستشعار للمنصة بالمراقبة في الوقت الفعلي ، والبحث بأثر رجعي عن آثار النشاط الضار في البنية التحتية للمؤسسة وإخطار محللي الأمن في حالة وجود خطر.
يبسط R-Vision TIP العمل مع بيانات التهديد من خلال جمع وتطبيع وتخزين البيانات من العديد من المصادر في قاعدة بيانات واحدة ، ويسهل تحديد التهديدات المخفية من خلال مراقبة المؤشرات ذات الصلة في استعلامات SIEM و syslog و DNS باستخدام المستشعرات.
مخطط العمل
يسمح لك TIP بحظر التهديدات في الوقت المناسب عن طريق التحميل التلقائي للبيانات المعالجة مباشرة إلى الدفاعات الداخلية. تقلل المعالجة المسبقة من عدد الإيجابيات الخاطئة التي تحدث عند استخدام البيانات الأولية. يدعم التحميل التلقائي للمؤشرات إلى معدات Cisco و PaloAlto Networks و Check Point.
تسمح لك منصة R-Vision Threat Intelligence Platform بتنفيذ وأتمتة السيناريو المطلوب للعمل مع المؤشرات. قد يشمل السيناريو الإثراء والكشف والتوزيع للحماية والإخطار.
يقدم الإصدار الجديد من المنتج أداة الرسم البياني للارتباط. يعرض علاقة المؤشر الضار بالكيانات الأخرى ، ويعرض تمثيلًا مرئيًا للتهديد. يحتوي الرسم البياني على أدوات لقياس الكائنات وتصفيتها وتجميعها حسب السمات المختلفة. خصائص
الواجهة الخاصة بموردي التغذية / مراكز تحليل الخلاصات: غير متاح عدد موردي التغذية خارج الصندوق: 20-100 طرق مدعومة لتلقي الخلاصات: CSV ، JSON ، HTTP إمكانية إثراء البيانات من المصادر الخارجية (على سبيل المثال - WHOis ، PassiveDNS ، VirusTotal ، وما إلى ذلك): الحالي ابحث عن التطابقات في أحداث SIEM: موجود
استجابة مباشرة للحوادث من خلال التكامل مع أنظمة أمن المعلومات الطرف الثالث: الحالية
الاستجابة للحوادث باستخدام خوارزميات معقدة (كتيب خطة اللعب): N / A
إمكانية التكامل عبر REST API: الحالية
إمكانية لبناء الرسم البياني للروابط بين الأشياء الأعلاف والتحف الداخلية: N / A
- ناتالكا
شيش لـ ROI4CIO