— Партнеры — Positive Technologies — PT Threat Analyzer

PT Threat Analyzer

Система PT Threat Analyzer собирает данные TI из внешних и внутренних источников, представляет их удобном виде, нормализует, дополняет контекстом и передает в продукты Positive Technologies.

Преимущества

Превращает разрозненные потоки данных в ценный источник знаний.

Автоматически нормализует и консолидирует данные из различных источников и создает единую базу знаний для работы службы ИБ. PT TA собирает данные из разных источников фидов — коммерческих или открытых — и в автоматизированном режиме представляет информацию в едином формате.

Показывает скрытые угрозы

Позволяет обнаружить атаку на ранних этапах за счет актуальных и точных данных. Индикаторы компрометации относятся к инфраструктуре, которую злоумышленники используют для атак. Обычно угрозы обнаруживаются за счет срабатывания сигнатур или правил корреляции на соответствующих событиях безопасности. Когда мы импортируем в SIEM-систему и СЗИ индикаторы компрометации, мы можем обнаружить атаку раньше, чем сработает сигнатура или правило корреляции.

Ускоряет обработку событий

Сокращает время подтверждения и приоритизации инцидента. Когда сотрудник SOC анализирует событие, он проверяет артефакты из карточки этого события во внешних базах, пытаясь обнаружить признаки компрометации, — так он может обнаружить, что, например, IP-адрес является командным сервером ботнета. PT Threat Analyzer позволяет сотруднику службы мониторинга быстро получать информацию, которая ему необходима.

Блокировка угроз

Блокирует угрозы за счет передачи актуальных данных о серьезных угрозах на сетевые СЗИ. PT Threat Analyzer формирует выборку индикаторов компрометации по заданным параметрам. Эта выборка регулярно обновляется и использует сетевые СЗИ (NGFW, WAF, веб-прокси).

Упрощает анализ угроз

PT Threat Analyzer позволяет приоритизировать угрозы на основании их актуальности, уровня достоверности и взаимосвязей. Для сущности рассчитывается степень уверенности в том, что она является индикатором компрометации, автоматически выстраиваются связи между сущностями, которые, например, могут связать IP-адрес и семейство вредоносного ПО или вредоносную группировку. Связи отображаются как в табличном виде, так и в виде графа.