Количество оповещений от различных систем информационной безопасности, ежедневно обрабатываемых аналитиками в центрах мониторинга и реагирования на инциденты ИБ, растет в геометрической прогрессии. Благодаря интеграции актуальных машиночитаемых аналитических данных о киберугрозах в эти системы, например, в SIEM, центры мониторинга могут автоматизировать процессы первоначальной приоритизации и расследования. Threat Intelligence платформа Kaspersky CyberTrace позволяет организациям существенно повысить эффективность использования таких данных.
Богатый инструментарий для анализа
CyberTrace агрегирует, дедуплицирует, нормализует и хранит поступающие данные и события обнаружения, позволяет сканировать исторические данные с использованием новой информации о киберугрозах, дает возможность аналитикам обмениваться информацией, предоставляет детальную статистику по используемым источникам и многое другое.
Автоматическое сопоставление данных
Логи, поступающие от различных систем безопасности, автоматически анализируются и сопоставляются с потоками данных о киберугрозах. При обнаружении угрозы продукт генерирует собственные оповещения cо всем доступным контекстом, обеспечивая «ситуационную осведомленность» и позволяя аналитикам принимать более взвешенные решения.
Расширенные возможности интеграции
Продукт позволяет работать с любым потоком аналитических данных о киберугрозах в форматах JSON, STIX, XML и CSV: open-source, от «Лаборатории Касперского», от других поставщиков, а также собственными кастомизированными потоками. CyberTrace также поддерживает интеграцию «из коробки» с различными SIEM-системами и источниками логов.
Поддержка мультитенантной архитектуры
Такая архитектура обеспечивает поддержку сценариев использования поставщиков сервисов кибербезопасности или крупных компаний, позволяя подключить один экземпляр CyberTrace ко многим SIEM-системам, установленным в дочерних или обслуживаемых организациях, и настроить потоки данных, которые должны быть использованы для каждой их них.
Применение
Эти сервисы разрабатывались с учетом требований кибербезопасности и рисков на предприятиях нескольких типов.
Внутренний механизм автоматического сопоставления и анализа поступающей информации позволяет эффективно выявлять даже обфусцированные индикаторы
Подключение и использование любого количества источников данных о киберугрозах без негативного влияния на производительность SIEM-систем
Интеграция потоков данных как с SIEM, так и напрямую c другими системами безопасности и источниками логов
Детальная статистика использования подключённых источников помогает сравнивать их эффективность и выбирать наиболее релевантных для компании поставщиков
Набор инструментов для всестороннего анализа
База данных со всеми индикаторами и событиями обнаружения и поддержкой сложных поисковых запросов
Сводная дедуплицированная информация по каждому индикатору, полученная из всех подключённых источнико
Возможность обсуждать и обмениваться данными о связанных киберугрозах в комментариях
Выгрузка индикаторов для дальнейшего использования
Проверка исторических данных с помощью новой информации об угрозах для выявления ранее пропущенных инцидентов
Единый веб-интерфейс с Kaspersky Unified Monitoring and Analysis Platform (KUMA)
Создание проактивной системы защиты от киберугроз
Совместное использование Kaspersky CyberTrace и потоков данных «Лаборатории Касперского» существенно расширяет возможности обнаружения угроз, предоставляя их полную картину, и обеспечивает:
Оперативное выявление критичных оповещений систем кибербезопасности для принятия взвешенных решений об их дальнейшей передаче группам реагирования на инциденты
Снижение нагрузки на аналитиков и экономия их времени
Более эффективное использование имеющихся ресурсов, позволяющее перенаправить усилия на работу с серьезными инцидентами
Интеграции
Интеграция средств обеспечения безопасности при помощи готовых коннекторов REST API
Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее. Продолжая находиться на сайте, вы соглашаетесь с этим. Подробную информацию о файлах cookie можно прочитать здесь.
