Компании сообщаютНовости компаний

В R-Vision TIP реализована распределенная инсталляция сенсоров обнаружения индикаторов компрометации

| 13.04.2021

В R-Vision TIP реализована распределенная инсталляция сенсоров обнаружения индикаторов компрометации

Компания R-Vision обновила платформу управления данными киберразведки R-Vision Threat Intelligence Platform (TIP) до версии 1.15.В ней появились возможность распределенной установки сенсоров SIEM, инструменты для управления жизненным циклом, создания и изменения индикаторов компрометации, поддержка формата STIX, расширенная модель данных об угрозах, новые функции по работе с бюллетенями и другие улучшения.

Одно из главных обновлений — возможность устанавливать сенсоры для сбора индикаторов компрометации рядом с потоком событий SIEM-системы. Ранее для обработки этой информации нужно было использовать единый централизованный сенсор, установленный вместе с платформой. Новая функциональность будет востребована крупными организациями с территориально-распределенной инфраструктурой, которым необходимо инсталлировать сенсоры непосредственно в филиалах. Все подключенные сенсоры SIEM доступны аналитикам SOC в пользовательском интерфейсе R-Vision TIP, где также предусмотрена возможность их удаленного конфигурирования.

Еще одно важное новшество: теперь пользователи платформы могут определять время устаревания индикаторов компрометации, задавая собственные политики или пользуясь сведениями поставщиков потоков данных об угрозах. Это позволяет аналитикам ИБ фильтровать потерявшие актуальность индикаторы компрометации и сокращать время на их обработку.

В новой версии платформы также появилась возможность создавать и редактировать индикаторы компрометации, найденные самостоятельно в ИТ-инфраструктуре компании. Пользователи могут вносить в систему всю необходимую информацию: тип, вид, значение, описание, теги, дату и время истечения индикатора и т.д.

Помимо этого, разработчики дополнили решение инструментом для анализа качества источников данных. Отчеты о подключенных к платформе источниках данных формируются автоматически за заданный период времени, а используемые в них метрики помогают оценить качество получаемых сведений.

Для повышения полноты описания угроз в продукте была расширена модель данных. В ней появился ряд новых сущностей, которые лежат в основе системы атрибуции угроз и помогают пользователям отличить серьезные атаки от незначительных инцидентов и принять оперативные меры по реагированию.

Также в обновленной версии R-Vision TIP реализована возможность ведения пользовательских «белых списков» индикаторов компрометации. Теперь аналитики SOC могут создавать собственные списки доверенных ресурсов для фильтрации заведомо невредоносных индикаторов компрометации на этапе сбора данных. Такие индикаторы будут считаться исключениями и не попадут в базу данных TIP.

Кроме того, в платформе добавлена возможность выгружать индикаторы компрометации в формате STIX 2.1. Это специализированный формат обмена данными киберразведки, который распознается большим количеством систем, позволяет совместно использовать данные об угрозах и получать структурированную информацию об индикаторах компрометации.

В последних версиях платформы реализован механизм создания произвольного количества дашбордов с кастомизируемыми виджетами под конкретные задачи аналитиков SOC. Ряд изменений коснулся и public API: например, появилась возможность выгружать информацию по большому объему индикаторов во внешние системы с помощью всего лишь одного запроса.

Отдельный блок изменений затронул работу с бюллетенями об угрозах и уязвимостях: теперь в них можно добавлять сразу несколько изображений и создавать в системе собственные шаблоны рекомендаций о том, что делать в случае выявления угрозы. Эти обновления помогут организациям с крупной филиальной сетью и MSS-провайдерам повысить скорость распространения важной информации для принятия оперативных мер по реагированию на инциденты ИБ.

«Мы наблюдаем на рынке ИБ растущую потребность в удобных инструментах управления, структурирования, обмена данными об угрозах, а также автоматизации действий с такими данными. Это напрямую связано с увеличивающимся объемом атак, их широким распространением по разным индустриям, расширяющимся инструментарием и техниками злоумышленников. Руководствуясь наблюдениями за изменениями ландшафта угроз, трендами рынка, тесной связью с пользователями продукта и сообществом TI, мы нацелены на развитие как функциональности, связанной с механизмами обработки данных, так и на предоставление инструментов для оперативного получения сведений об угрозах, поиска угроз внутри инфраструктуры в процессе реагирования на инциденты либо проактивно в режиме Threat hunting», — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.

Платформа R-Vision Threat Intelligence Platform представляет собой продукт класса TIP, который обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.

R-Vision Информационная безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021