R‑Vision TIP

Платформа анализа информации об угрозах

R‑Vision TIP

О продукте

R‑Vision Threat Intelligence Platform (TIP) обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.

Преимущества

  • Упрощает работу с данными Threat Intelligence,

    осуществляя сбор, нормализацию и хранение данных из различных источников в единой базе

  • Облегчает выявление скрытых угроз,

    обеспечивая втоматический мониторинг релевантных индикаторов в SIEM, syslog и DNS-запросах с помощью сенсоров

  • Упрощает и ускоряет расследование инцидентов

    за счет быстрого поиска информации в доступных источниках и автоматизации ключевых сценариев работы с данными киберразведки

  • Позволяет вовремя блокировать угрозы и минимизировать возможный ущерб,

    благодаря втоматической выгрузке обработанных данных напрямую на внутренние средства защиты

Наведите курсором на элементы интерфейса и узнайте, какую функцию они выполняют

tip-screenshot
География принадлежности индикаторов компрометации
Рейтинг наиболее активных индикаторов компрометации
Процесс обогащения индикаторов можно вывести на виджет
Статистика обнаружений индикаторов компрометации в системе
tip-screenshot
Сводная информация по конкретному индикатору компрометации
Сбор информации об индикаторе и связанных с ним данных
Обогащение индикатора дополнительным контекстом
tip-screenshot
Список обнаружений индикатора компрометации внутри инфраструктуры
История изменений индикатора компрометации

Как работает?

Индикаторы компрометации (IoCs) представляют собой специфичные признаки, позволяющие распознать потенциальную угрозу. К ним относятся IP-адреса, домены, хэш-суммы вредоносных файлов, адреса командных серверов ботнетов и другие данные. Подобные сведения помогают выявлять попытки проникновения в системы, обнаруживать целенаправленные атаки на ранних этапах и быть в курсе актуальных угроз.

product picture

Схема работы R‑Vision TIP

  • Централизованный сбор индикаторов

    R‑Vision TIP агрегирует данные об угрозах из различных источников в автоматическом режиме. Система обладает встроенной интеграцией с площадками обмена данными об угрозах и сервисами:

    • IBM X-Force Exchange;
    • AT&T Alien Labs Open Threat Exchange (OTX);
    • Group-IB Threat Intelligence;
    • Kaspersky Threat Intelligence;
    • ESET Threat Intelligence;
    • RST Cloud Threat Feed;
    • ФинЦерт ЦБ РФ;
    • Возможно подключение других источников.
  • Обработка и обогащение

    В процессе обработки индикаторы нормализуются и приводятся к единой модели представления, дублирующиеся индикаторы связываются и объединяются.

    R‑Vision TIP позволяет обогащать индикаторы компрометации дополнительным контекстом, который отсутствует в исходных данных от поставщика. Более актуальные и полные сведения помогают аналитику принять решение о дальнейших действиях с индикаторами.

    Поддерживаемые сервисы обогащения: VirusTotal, Hybrid Analysis, OPSWAT Metadefender, Shodan, RiskIQ, MaxMind, Sypex, Ipgeolocation.io, Whois и другие.

  • Анализ взаимосвязей

    Анализ взаимосвязей помогает ИБ-специалисту правильно интерпретировать данные и сформировать целостную картину угрозы. R‑Vision TIP собирает имеющуюся у поставщика информацию об индикаторе и связанные с ним данные:

    • отчеты о технике, тактике и процедурах (TTPs) злоумышленника;
    • вредоносное ПО;
    • уязвимости (CVE), список уязвимого ПО (CPE), дефекты безопасности (CWE) из баз NVD (NIST) и MITRE;
    • другие индикаторы.
  • Выгрузка на СЗИ

    Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы для немедленной блокировки. Предварительная обработка помогает снизить количество ложных срабатываний, которые могут возникать при использовании сырых данных. Поддерживается автоматическая выгрузка индикаторов на оборудование:

    • Cisco;
    • PaloAlto Networks;
    • Check Point;
    • и другие средства защиты.
  • Мониторинг индикаторов

    Система обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и рассылает оповещения при их обнаружении:

    • QRadar;
    • ArcSight;
    • MaxPatrol SIEM;
    • другие SIEM-системы.
  • Автоматизация сценариев

    R‑Vision TIP позволяет реализовать необходимый сценарий работы с индикаторами в виде заданной последовательности действий и автоматизировать его. В сценарий могут входить такие действия как:

    • обогащение контекстом во внешних сервисах и нормализация данных;
    • мониторинг в событиях SIEM;
    • оповещение в случае обнаружения;
    • экспорт индикаторов на средства защиты.
  • Формирование бюллетеней

    Удобный конструктор бюллетеней позволяет формировать собственные информационные материалы для повышения осведомленности различных кругов заинтересованных лиц.

    При помощи конструктора бюллетеней можно создать бюллетени по угрозам и уязвимостям, добавить дополнительные свидетельства, например изображения и аннотации, распространить  бюллетени по подведомственным структурам, а также экспортировать их на внешние системы при помощи API.

Запрос на демо

Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение? Отправьте запрос и мы свяжемся с вами.