Security Vision TIP

Функционал модуля Threat Intelligence Platform (TIP) платформы Securtiy Vision обеспечивает автоматический сбор индикаторов компрометации (IoC) из внешних источников, нормализацию полученных данных, обогащение дополнительной информацией, а также обработку полученной информации – добавление исключений в настройки средств защиты, выявление индикаторов в инфраструктуре Заказчика, оповещение заинтересованных лиц и дальнейшее распространение информации.

Получение индикаторов компрометации осуществляется посредством интеграции с сервисами – поставщиками с использованием механизмов универсальных коннекторов. Функционал коннекторов позволяет:
  • получать информацию об индикаторах компрометации;
  • производить обработку и нормализацию полученной информации;
  • осуществлять фильтрацию полученной информации;
  • обеспечивать дедупликацию полученной информации;
  • создавать новую запись индикатора в базе индикаторов компрометации или обновлять информацию в существующем индикаторе на основании настраиваемых признаков.
Функционал коннекторов позволяет осуществлять сбор информации из различных сервисов и систем посредством следующих способов и протоколов:
  • обработка файлов в форматах XML, JSON, CSV, TXT, Binary;
  • REST;
  • SOAP;
  • IMAP;
  • POP3;
  • MS SQL;
  • MySQL;
  • PostgreSQL;
  • Syslog.
Функционал модуля позволяет осуществлять обработку полученных индикаторов по настраиваемым рабочим процессам. Рабочий процесс обработки индикатора компрометации позволяет выполнять как автоматические, так и инициируемые пользователям действия в соответствии с утверждёнными в организации процессами. В рамках обработки производится:

1. Обогащение индикатора дополнительными данными на основании внешних сервисов и информационных систем Заказчика.

2. Выявление индикатора компрометации в инфраструктуре Заказчика, как на основании ретроспективного анализа, так и в режиме реального времени.

3. Обновление конфигурации средств защиты информации с целью блокирования активностей, связанных с индикатором компрометации.

4. Оповещение ответственных сотрудников Заказчика о новых индикаторах и результатах их обработки.

5. Распространение информации о индикаторе компрометации.

Взаимодействие с внешними системами при обработке индикаторов компрометации осуществляется посредством универсальных коннекторов.

Механизм коннекторов обеспечивает возможность создания соединения с внешними сервисами и системами с помощью следующих протоколов и механизмов:
  • DNS;
  • HTTP;
  • HTTPS;
  • PowerShell;
  • RPC;
  • SNMP;
  • SSH;
  • SSL;
  • TLS;
  • WMI;
  • механизм подключения к Microsoft SQL;
  • механизм подключения к MySQL;
  • механизм подключения к Oracle;
  • механизм подключения к PostgreSQL;
  • механизм подключения к Active Directory.
Механизм коннекторов поддерживает следующие способы интерпретации команд на внешних сервисах и системах:
  • BASH-COMMAND;
  • BASH-SCRIPT;
  • BATCH;
  • CMD;
  • Java;
  • Javascript;
  • PowerShell;
  • Python;
  • REST-запросы;
  • SNMP;
  • SOAP;
  • запросы к базе данных MS SQL;
  • запросы к базе данных MySQL;
  • запросы к базе данных Oracle;
  • запросы к базе данных PostgreSQL.
Модуль TIP платформы Securtiy Vision поддерживает возможность аналитики полученных данных посредством использования различных внутренних и внешних моделей обработки данных, применяемых в процессах заказчика.

;