В рамках партнёрства аналитические команды R-Vision получат доступ к глобальному структурированному CTI-озеру данных о киберугрозах технического, тактического и операционного уровней. Эти данные формируются на основе анализа международных отчётов о деятельности хакерских группировок, вредоносного программного обеспечения.
Интеграция решений CyberThreatTech с системами R-Vision SIEM, R-Vision SOAR и R-Vision TIP позволит эффективнее применять данные о киберугрозах в процессах мониторинга, анализа и реагирования на инциденты информационной безопасности. Кроме того, интеграция повысит совместимость продуктов и удобство работы для заказчиков, использующих решения обеих компаний.
Мы используем фид CTT Report Hub, который обеспечивает оперативный доступ к актуальной информации из TI-отчётов в стандартизированном формате STIX. Это позволяет нашим командам выстраивать собственную аналитику киберугроз — формулировать и проверять гипотезы, направленные на покрытие актуальных угроз.
Благодаря единому формату и предварительно подготовленным данным, включая дополнительный контекст, например, сведения об используемых инструментах, мы существенно сокращаем время на подготовку и актуализацию правил корреляции и уменьшаем объём рутинной работы».
Использование расширенной TI-информации способствует повышению качества детектирования и полноты покрытия угроз в продукте R-Vision SIEM.
Ежедневно в мире, в публичном доступе, появляется порядка 10 полноценных отчетов по анализу работы хакерских группировок и/или ВПО. Эти данные, представляющие собой Индикаторы атаки, важно не просто собрать, выделить, очистить, восстановить все их семантические связи в формате STIX, но и заставить их приносить пользу в части детектирования реальных атак.
Эффективная работа Индикаторов атаки возможна только при тесной интеграции с решениями класса SIEM, SOAR и TIP. Именно поэтому технологическое партнерство с R-Vision – важный шаг в развитии и продвижении наших сервисов линейки CTT CTI.
