Одно из главных обновлений — возможность устанавливать сенсоры для сбора индикаторов компрометации рядом с потоком событий SIEM-системы. Ранее для обработки этой информации нужно было использовать единый централизованный сенсор, установленный вместе с платформой. Новая функциональность будет востребована крупными организациями с территориально-распределенной инфраструктурой, которым необходимо инсталлировать сенсоры непосредственно в филиалах. Все подключенные сенсоры SIEM доступны аналитикам SOC в пользовательском интерфейсе R-Vision TIP, где также предусмотрена возможность их удаленного конфигурирования.
Распределенная инсталляция сенсоров SIEM в R-Vision TIP 1.15
Еще одно важное новшество: теперь пользователи платформы могут определять время устаревания индикаторов компрометации, задавая собственные политики или пользуясь сведениями поставщиков потоков данных об угрозах. Это позволяет аналитикам ИБ фильтровать потерявшие актуальность индикаторы компрометации и сокращать время на их обработку.
В новой версии платформы также появилась возможность создавать и редактировать индикаторы компрометации, найденные самостоятельно в ИТ-инфраструктуре компании. Пользователи могут вносить в систему всю необходимую информацию: тип, вид, значение, описание, теги, дату и время истечения индикатора и т.д.
Помимо этого, разработчики дополнили решение инструментом для анализа качества источников данных. Отчеты о подключенных к платформе источниках данных формируются автоматически за заданный период времени, а используемые в них метрики помогают оценить качество получаемых сведений.
Для повышения полноты описания угроз в продукте была расширена модель данных. В ней появился ряд новых сущностей, которые лежат в основе системы атрибуции угроз и помогают пользователям отличить серьезные атаки от незначительных инцидентов и принять оперативные меры по реагированию.
Также в обновленной версии R-Vision TIP реализована возможность ведения пользовательских «белых списков» индикаторов компрометации. Теперь аналитики SOC могут создавать собственные списки доверенных ресурсов для фильтрации заведомо невредоносных индикаторов компрометации на этапе сбора данных. Такие индикаторы будут считаться исключениями и не попадут в базу данных TIP.
Кроме того, в платформе добавлена возможность выгружать индикаторы компрометации в формате STIX 2.1. Это специализированный формат обмена данными киберразведки, который распознается большим количеством систем, позволяет совместно использовать данные об угрозах и получать структурированную информацию об индикаторах компрометации.
В последних версиях платформы реализован механизм создания произвольного количества дашбордов с кастомизируемыми виджетами под конкретные задачи аналитиков SOC. Ряд изменений коснулся и public API: например, появилась возможность выгружать информацию по большому объему индикаторов во внешние системы с помощью всего лишь одного запроса.
Отдельный блок изменений затронул работу с бюллетенями об угрозах и уязвимостях: теперь в них можно добавлять сразу несколько изображений и создавать в системе собственные шаблоны рекомендаций о том, что делать в случае выявления угрозы. Эти обновления помогут организациям с крупной филиальной сетью и MSS-провайдерам повысить скорость распространения важной информации для принятия оперативных мер по реагированию на инциденты ИБ.
«Мы наблюдаем на рынке ИБ растущую потребность в удобных инструментах управления, структурирования, обмена данными об угрозах, а также автоматизации действий с такими данными. Это напрямую связано с увеличивающимся объемом атак, их широким распространением по разным индустриям, расширяющимся инструментарием и техниками злоумышленников. Руководствуясь наблюдениями за изменениями ландшафта угроз, трендами рынка, тесной связью с пользователями продукта и сообществом TI, мы нацелены на развитие как функциональности, связанной с механизмами обработки данных, так и на предоставление инструментов для оперативного получения сведений об угрозах, поиска угроз внутри инфраструктуры в процессе реагирования на инциденты либо проактивно в режиме Threat hunting», — отметил Антон Соловей, менеджер продукта R-Vision Threat Intelligence Platform.
Платформа R-Vision Threat Intelligence Platform представляет собой продукт класса TIP, который обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.