Поиск
Security Vision TIP
Обзор продукта
Security Vision TIP использует источники внутри компании (SIEM, NGFW, proxy- и email-сервера и др.), различные фиды (коммерческие и open source), данные аналитических центров и универсальные форматы (Syslog, CEF, LEEF, EMBLEM, Event log) для быстрого анализа больших данных.
Аналитическая база формируется из поступающих в систему индикаторов компрометации (хэши, email-адреса и домены, IP и URL), атаки (ключи реестра, JARM и процессы), а также обогащается стратегическими атрибутами. Благодаря последним аналитик сможет проще и быстрее идентифицировать угрозу, злоумышленника, используемое им вредоносное ПО и уязвимости. Встроенные возможности реагирования позволят дополнить аналитику непосредственными действиями по защите периметра.
Подробнее
Модуль анализа угроз кибербезопасности и проведения киберразведки обеспечивает автоматический сбор индикаторов (компрометации, атаки, угрозы и др. типы) из внешних источников (поставщиков фидов и аналитических сервисов). После обработки и нормализации данных происходит обогащение для выстраивания взаимосвязей и ландшафта атаки, что даёт аналитику более подробную картину происходящего. Модуль в режиме реального времени осуществляет обнаружение индикаторов в трафике (в т.ч. с помощью машинного обучения), после чего предлагает ручное или автоматическое реагирование.
Основной функционал:
Получение и обработка данных осуществляется посредством интеграции с сервисамипоставщиками с использованием механизмов универсальных коннекторов, позволяя:
Рабочий процесс обработки индикатора компрометации может осуществляться как автоматически, так и инициируемыми пользователем действиями в соответствии с утверждёнными в организации регламентами и процессами, включая:
Для уведомления по различным значимым событиям всех участников процесса предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений.
Для формирования отчётности и визуализации статистической информации в модуле предусмотрены интерактивные дашборды (включая географическую карту и другие способы визуализации), а также экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
Security Vision TIP использует источники внутри компании (SIEM, NGFW, proxy- и email-сервера и др.), различные фиды (коммерческие и open source), данные аналитических центров и универсальные форматы (Syslog, CEF, LEEF, EMBLEM, Event log) для быстрого анализа больших данных.
Аналитическая база формируется из поступающих в систему индикаторов компрометации (хэши, email-адреса и домены, IP и URL), атаки (ключи реестра, JARM и процессы), а также обогащается стратегическими атрибутами. Благодаря последним аналитик сможет проще и быстрее идентифицировать угрозу, злоумышленника, используемое им вредоносное ПО и уязвимости. Встроенные возможности реагирования позволят дополнить аналитику непосредственными действиями по защите периметра.
Подробнее
Модуль анализа угроз кибербезопасности и проведения киберразведки обеспечивает автоматический сбор индикаторов (компрометации, атаки, угрозы и др. типы) из внешних источников (поставщиков фидов и аналитических сервисов). После обработки и нормализации данных происходит обогащение для выстраивания взаимосвязей и ландшафта атаки, что даёт аналитику более подробную картину происходящего. Модуль в режиме реального времени осуществляет обнаружение индикаторов в трафике (в т.ч. с помощью машинного обучения), после чего предлагает ручное или автоматическое реагирование.
Основной функционал:
- интеграция «из коробки» с коммерческими (Kaspersky, FAACT ex. Group IB, BI.Zone, RST Cloud) и open-source (Alien Vault, Feodo Tracker, DigitalSide) фидами;
- все уровни индикаторов: технический (хэш, IP, URL, домен, email), тактический (процесс, JARM, ключ реестра), операционный (уязвимости, ВПО) и стратегический;
- 50+ конфигураций коннекторов «из коробки» для получения потока событий из решений различных классов (SIEM, NGFW, Proxy/Email-сервера и др.);
- поддержка кастомных коннекторов и универсальных форматов (Syslog, CEF, LEEF, EMBLEM, Event log);
- возможность обогащения из внешних источников (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и др.) и встроенных БДУ ФСТЭК и MITRE ATT&CK;
- продвинутые механики обнаружения индикаторов в потоке событий: DGAмеханизмы с использованием машинного обучения, match и retro-поиск по всем собранным данным;
- встроенное реагирование без обязательного применения SOAR для автоматизации, в т.ч. запуск действий из аналитического графа связей.
Получение и обработка данных осуществляется посредством интеграции с сервисамипоставщиками с использованием механизмов универсальных коннекторов, позволяя:
- получать информацию об индикаторах;
- производить обработку и нормализацию полученной информации;
- осуществлять фильтрацию;
- обеспечивать дедупликацию данных;
- создавать новую запись базе или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.
Рабочий процесс обработки индикатора компрометации может осуществляться как автоматически, так и инициируемыми пользователем действиями в соответствии с утверждёнными в организации регламентами и процессами, включая:
- обогащение дополнительными данными на основании внешних сервисов и информационных систем заказчика;
- выявление угроз в инфраструктуре заказчика как на основании ретроспективного анализа, так и в режиме реального времени;
- обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с возможной атакой.
- SIEM (MicroFocus ArcSight (QueryViewer, Logger API Query, Syslog), KUMA (Syslog), MaxPatrol SIEM (API), IBM Qradar (Ariel Query, Reference Sets, Syslog);
- почтовые сервера (Microsoft Exchange);
- сетевые устройства с форматами отправки данных (CEF, LEEF, EMBLEM);
- прокси сервера (Squid, Blue Coat);
- источники данных об уязвимостях (CVE NIST, БДУ ФСТЭК, НКЦКИ);
- песочницы (TrendMicro DDA, Kaspersky TIP, Kaspersky KATA, Virus Total);
- системы отправки данных об инциденте (Security Vision SOAR, R-Vision SOAR, MaxPatrol SIEM. Kaspersky KUMA, ArcSight SIEM, IBM Qradar);
- NGFW для отправки IP-адресов на блокировку (CheckPoint NGFW, Cisco ASA, Cisco Firepower, Cisco Switch, Juniper);
- шлюзы безопасности электронной почты (Cisco IronPort ESA, FireEye, TrendMicro IMSVA).
Для уведомления по различным значимым событиям всех участников процесса предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений.
Для формирования отчётности и визуализации статистической информации в модуле предусмотрены интерактивные дашборды (включая географическую карту и другие способы визуализации), а также экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
