Security Vision TIP (Threat Intelligence Platform)
Security Vision TIP (Threat Intelligence Platform) предназначен для анализа угроз кибербезопасности и проведения киберразведки. Продукт использует источники внутри компании (SIEM, NGFW, proxy- и email-серверы), различные фиды (коммерческие и open source), данные аналитических центров и универсальные форматы (Syslog, CEF, LEEF, EMBLEM, Event log) для быстрого анализа больших данных.
Аналитическая база формируется из поступающих в систему индикаторов компрометации (хэши, email-адреса и домены, IP и URL), индикаторов атаки (ключи реестра, JARM и процессы), а также обогащается стратегическими атрибутами для идентификации угрозы, злоумышленника, используемого вредоносного ПО и уязвимостей. Встроенные возможности реагирования позволяют дополнить аналитику действиями по защите периметра.
Обработка индикаторов на всех уровнях
Security Vision TIP работает на четырёх уровнях анализа угроз. Технический уровень включает хэши, IP-адреса, URL, домены и email. Тактический уровень охватывает процессы, JARM и ключи реестра. Операционный уровень учитывает уязвимости и вредоносное ПО. Стратегический уровень обеспечивает атрибуцию данных о злоумышленниках и угрозах.
Обработка событий в инфраструктуре
Продукт поддерживает более 50 коннекторов (с возможностью разработки новых) для получения событий из решений различных классов: SIEM, NGFW, Proxy/Email-серверы и другие. Данные оптимизируются для долгосрочного хранения.
Механики обнаружения и реагирование
DGA-механизмы с использованием машинного обучения, match и retro-поиск по собранным данным обнаруживают совпадения по любым параметрам объектов. Графы связей и табличные представления позволяют запускать команды реагирования во время работы аналитика: отправка объекта в blocklist, блокирование трафика для IP, добавление URL в политику Web-control, завершение процессов и служб на хосте, завершение сеанса пользователя или смена пароля и другие действия.
Источники фидов и обогащение
Поддерживаются коммерческие подписки: Kaspersky, F.A.C.C.T., BI.Zone, RST Cloud. Open-source источники: Alien Vault, Feodo Tracker, DigitalSide. Для обогащения индикаторов используются MITRE ATT&CK, VirusTotal, Shodan, Kaspersky OpenTIP, IPgeolocation.io, IPInfo.io, MaxMind Geo-IP, HaveiBeenPwned, LOLBAS и другие сервисы.
Сертификация и соответствие требованиям
Security Vision TIP соответствует требованиям Федеральных законов № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, стандарту СТО БР ИББС и РС БР ИББС-2.5-2014, международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России, включён в реестр отечественного ПО.
Клиенты и внедрения
Среди заказчиков Security Vision TIP: НИИ «Интеграл» и другие. Продукт используется совместно с SOAR-решениями Security Vision для комплексной защиты инфраструктуры.
