R-Vision Threat Intelligence Platform

Комплексная работа с данными киберразведки

R-Vision Threat Intelligence Platform (TIP) обеспечивает централизованный сбор, обработку и обогащение индикаторов компрометации, собираемых из фидов Threat Intelligence от различных поставщиков.

Система обладает встроенной интеграцией с площадками обмена данными об угрозах IBM X-Force Exchange и AlienVault Open Threat Exchange, с Threat Intelligence фидами от Group-IB и Лаборатории Касперского и позволяет подключить другие коммерческие и публичные фиды киберразведки.

Threat Intelligence Platform от R-Vision позволяет не только загружать сведения по определенным источникам, но и осуществлять кросс-проверку данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках. Обработанные данные можно напрямую передать на внутренние средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных, полученных из фидов.

Схема R-Vision Threat Intelligence Platform
Схема работы R-Vision Threat Intelligence Platform

Преимущества

  • Облегчает выявление скрытых угроз, осуществляя централизованный мониторинг данных киберразведки, собираемых из различных источников.
  • Упрощает и ускоряет расследование инцидентов за счет дополнительных кросс-проверок индикаторов и быстрого поиска по всем доступным базам данных Threat Intelligence.
  • Повышает скорость реагирования, работая в тесной связке с R-Vision Incident Response Platform.
  • Позволяет оперативно блокировать угрозу и минимизировать возможный ущерб, благодаря передаче обработанных данных киберразведки напрямую на внутренние средства защиты.

Ключевые возможности

Централизованный сбор и обработка данных киберразведки

R-Vision Threat Intelligence Platform агрегирует данные из различных источников и осуществляет их обработку и приоритезацию как в ручном, так и в автоматическом режимах.

Сведения об индикаторах компрометации можно получать как в ручном режиме за счет использования расширенных механизмов поиска, так и в автоматическом режиме с использованием API системы.

Обогащение индикаторов

Кросс-проверка данных по отдельным индикаторам с помощью дополнительных запросов во внешних источниках позволяет получить дополнительную информацию, которая отсутствует в фиде.

Выгрузка данных на средства защиты

Использование R-Vision Threat Intelligence Platform позволяет создать в инфраструктуре единую точку сбора, анализа и обработки данных кибер-разведки с последующим использованием подготовленных данных в других внутренних процессах.

Обработанные данные можно напрямую передать на используемые средства защиты, что позволяет снизить количество ложных срабатываний, которые возникают при использовании сырых данных.

Интеграция с системой R-Vision Incident Response Platform

Тесная интеграция с платформой R-Vision Incident Response Platform позволяет проверять обнаруженные в ходе расследования инцидентов индикаторы компрометации одновременно во всех подключенных фидах в автоматическом режиме или по запросу.

Получая данные об инфраструктуре от R-Vision Incident Response Platform, платформа R-Vision Threat Intelligence Platform позволяет осуществлять автоматический поиск релевантных угроз в доступных источниках.

Обмен данными

Пользователи платформы R-Vision Threat Intelligence Platform могут организовать взаимный обмен данными по индикаторам компрометации. Объем передаваемых сведений и список получателей этих сведений регулируются отправителем.

За счет такого обмена обеспечивается возможность оперативного обмена данными киберразведки в рамках доверенных отраслевых и экспертных групп, внутри крупных корпораций и концернов, работающих в рамках единой системы обеспечения информационной безопасности.