R‑Vision TIP

Платформа анализа информации об угрозах

R‑Vision TIP

О продукте

R‑Vision Threat Intelligence Platform (TIP) обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.

Преимущества

  • Упрощает работу с данными Threat Intelligence,

    осуществляя сбор, нормализацию и хранение данных из различных источников в единой базе

  • Облегчает выявление скрытых угроз,

    обеспечивая втоматический мониторинг релевантных индикаторов в SIEM, syslog и DNS-запросах с помощью сенсоров

  • Упрощает и ускоряет расследование инцидентов

    за счет быстрого поиска информации в доступных источниках и автоматизации ключевых сценариев работы с данными киберразведки

  • Позволяет вовремя блокировать угрозы и минимизировать возможный ущерб,

    благодаря втоматической выгрузке обработанных данных напрямую на внутренние средства защиты

product-screenshot
product-screenshot
product-screenshot
product-screenshot

Как работает?

Индикаторы компрометации (IoCs) представляют собой специфичные признаки, позволяющие распознать потенциальную угрозу. К ним относятся IP-адреса, домены, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов и другие данные. Подобные сведения помогают выявлять попытки проникновения в системы, обнаруживать целенаправленные атаки на ранних этапах и быть в курсе актуальных угроз.

product picture

Схема работы R‑Vision TIP

  • Централизованный сбор индикаторов

    R‑Vision TIP агрегирует данные об угрозах из различных источников в автоматическом режиме. Система обладает встроенной интеграцией с площадками обмена данными об угрозах и сервисами:

    • IBM X-Force Exchange; AT&T Cybersecurity ; Group-IB Threat Intelligence; Kaspersky Threat Intelligence; RST Cloud Threat Feed; ФинЦерт ЦБ РФ; R-Vision Threat Feed, а также возможно подключение других источников.
  • R-Vision Threat Feed

    R-Vision Threat Feed – это отдельный сервис, который автоматически собирает и обрабатывает TI-отчеты из открытых источников, извлекает из них индикаторы компрометации и связанный контекст и передает данные в систему.

    При подключении R-Vision Threat Feed к платформе аналитик получит информацию обо всех важных объектах, связанных с отчетом: индикаторах компрометации, злоумышленниках, вредоносном ПО, а также иной контекст. Данные отчета можно проанализировать и использовать для поиска в инфраструктуре организации или для интеграции со средствами защиты.

    R-Vision Threat Feed помогает получать качественную и полную информацию об угрозах, не расходуя время аналитиков SOC на обработку отчетов формата pdf вручную и последующее занесение и связывание данных в используемой системе.

  • Обработка и обогащение

    В процессе обработки индикаторы нормализуются и приводятся к единой модели представления, дублирующиеся индикаторы связываются и объединяются. Каждому индикатору компрометации присваивается рейтинг и определяются политики устаревания индикаторов. R-Vision TIP позволяет обогащать индикаторы компрометации дополнительным контекстом, который отсутствует в исходных данных от поставщика. Более актуальные и полные сведения помогают аналитику принять решение о дальнейших действиях с индикаторами.

    • Поддерживаемые сервисы обогащения: VirusTotal, Hybrid Analysis, OPSWAT Metadefender, Shodan, RiskIQ, MaxMind, Sypex, Ipgeolocation.io, Whois и другие.
  • Анализ взаимосвязей

    Анализ взаимосвязей помогает ИБ-специалисту правильно интерпретировать данные и сформировать целостную картину угрозы. R‑Vision TIP собирает имеющуюся у поставщика информацию об индикаторе и связанные с ним данные:

    • отчеты о технике, тактике и процедурах (TTPs) злоумышленника;
    • вредоносное ПО;
    • уязвимости (CVE), список уязвимого ПО (CPE), дефекты безопасности (CWE) из баз NVD (NIST) и MITRE;
    • другие индикаторы.
  • Выгрузка на СЗИ

    Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы для немедленной блокировки. Предварительная обработка помогает снизить количество ложных срабатываний, которые могут возникать при использовании сырых данных. Поддерживается автоматическая выгрузка индикаторов на оборудование:

    • Cisco;
    • PaloAlto Networks;
    • Check Point;
    • и другие средства защиты.
  • Мониторинг индикаторов

    Система обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и рассылает оповещения при их обнаружении:

    • QRadar;
    • ArcSight;
    • MaxPatrol SIEM;
    • другие SIEM-системы.
  • Автоматизация сценариев

    R‑Vision TIP позволяет реализовать необходимый сценарий работы с индикаторами в виде заданной последовательности действий и автоматизировать его. В сценарий могут входить такие действия как:

    • обогащение контекстом во внешних сервисах и нормализация данных;
    • мониторинг в событиях SIEM;
    • оповещение в случае обнаружения;
    • экспорт индикаторов на средства защиты.
  • Формирование бюллетеней

    Удобный конструктор бюллетеней позволяет формировать собственные информационные материалы для повышения осведомленности различных кругов заинтересованных лиц.

    При помощи конструктора бюллетеней можно создать бюллетени по угрозам и уязвимостям, добавить дополнительные свидетельства, например изображения и аннотации, распространить  бюллетени по подведомственным структурам, а также экспортировать их на внешние системы при помощи API.

Блог

Запрос на демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение? Отправьте запрос и мы свяжемся с вами.