Платформа киберразведки Anomali

Anomali: ускоряем киберразведку

by Тайгер Оптикс | Posted on

Эта статья посвящена ежеквартальному релизу Anomali за декабрь 2020 года. Чтобы еще больше оптимизировать процессы киберразведки, команда инженеров и команда по развитию продуктов Anomali тесно взаимодействовали с клиентами при создании новых функций и обновлений. Организации постоянно совершенствуют свои программы киберразведки и пытаются эффективно использовать постоянно растущие объемы данных об угрозах и телеметрии. Следовательно, компаниям в первую очередь нужны решения, которые сделают киберразведку эффективнее, а аналитиков SOC продуктивнее. Anomali продолжает улучшать пользовательское взаимодействие по всем аспектам и ускорять общие рабочие процессы, что повышает общий уровень безопасности. Новые возможности декабрьского релиза представлены ниже.

Встроенные тематические дашборды

Готовые тематические дашборды позволяют аналитикам быстро фокусироваться на актуальных данных киберразведки о конкретных событиях безопасности внутри их организации. При разработке дашбордов для реальных сценариев расследования команда аналитиков Anomali Threat Research применяла свои экспертные знания. Новые тематические дашборды, доступные на платформе киберразведки Anomali ThreatStream, показывают индикаторы компрометации (IOC), связанные с COVID-19, актуальные данные об активности злоумышленников по всему миру, а также уязвимости и эксплойты, которые они используют для компрометации систем и данных.

Рис. 1. Пример дашборда с индикаторами компрометации, связанными с COVID-19
Рис. 2. Пример дашборда активности злоумышленников по всему миру

Гибкое отслеживание покрытия фреймворка MITRE ATT&CK

Новая функция позволяет аналитикам настраивать уровень способностей реагировать на каждую технику злоумышленников во фреймворке MITRE. Это позволяет более точно выстраивать процессы в соответствии со стратегией реагирования на угрозы, упрощая и ускоряя работу.

Рис. 3. Уровни критичности угроз по каждой технике MITRE ATT&CK

Ускоренные расследования

Чтобы сделать работу аналитиков проще, а их самих — продуктивнее, была добавлена функция Threat Card («Карточки Угроз»). С ней пользователи получают детальную информацию об угрозах на одном экране. Для улучшения совместной работы над текущими расследованиями были добавлены средства мониторинга и контроля доступа. Аналитики смогут помечать незавершенные расследования статусом «Private» и по выбору открывать к ним доступ своей команде или организации. Пока данные расследования редактируются, доступ на редактирование другим членам команды можно закрыть, чтобы не делать двойную работу. Теперь аналитикам удобнее работать с пользовательским интерфейсом благодаря расширенному функционалу с мышью, который упрощает навигацию по расследованию.

Рис. 4. Польза от Карточек Угроз и контроля доступа для ведения расследований

Ускоренное составление готовых аналитических отчетов

На платформе Anomali ThreatStream теперь доступно множество шаблонов для создания отчетов после завершения расследования. В них можно добавить символику организации, а затем отправить готовые отчеты всем заинтересованным сторонам прямо из ThreatStream. Благодаря этой функции можно просто, быстро и интуитивно скомпоновать и разослать отчет с аналитикой и полученными результатами.

Рис. 5. Готовые шаблоны для создания и рассылки отчетов ускоряют завершение расследований

Быстрая обработка неструктурированных данных об угрозах

Новые функции данного релиза позволяют быстрее и точнее проводить расследования и эффективнее управлять ими с помощью Anomali Lens — инструмента обработки естественного языка (NLP), который автоматически сканирует и преобразует неструктурированные данные с веб-страниц и отчетов в ценную аналитическую информацию. Обновления и новые возможности:

  • исключения из сканирования, управляемые централизованно;
  • улучшенное сканирование файлов в PDF;
  • оптимизированная навигация по странице: от общей информации по обнаруженным угрозам до отдельных элементов;
  • поддержка специального доступа.

Эффективная передача аналитики по угрозам в СЗИ

В данном релизе Anomali ThreatStream обновлены и улучшены возможности интеграции с ведущими защитными решениями, такими как Splunk, LogRhythm, CrowdStrike, IBM Resilient, IBM QRadar и Microsoft Azure Sentinel, что оптимизирует передачу приоритизированных данных киберразведки в систему безопасности.

Доступность развертывания на площадке заказчика

Была проведена значительная работа над оптимизацией возможностей гибридного развертывания платформы Anomali ThreatStream. Они позволяют организациям, подчиняющимся информационному суверенитету и нормативным требованиям разных стран, хранить наборы данных в рамках одного домена безопасности и при этом иметь прямой доступ к облачной среде Anomali, которая легко масштабируется. Другие основные функции:

  • поддержка обновленной версии Anomali Lens, включающей возможности последнего фреймворка MITRE ATT&CK;
  • расширенная поддержка решения Active Directory Federation Services (ADFS): теперь с сопоставлением прав доступа из хранилищ учетных данных Microsoft Active Directory или Azure AD;
  • графическое представление аналитических метрик по потокам киберразведки на настраиваемых дашбордах.

Закажите демо и тестирование Anomali

Хотите узнать больше о платформе киберразведки Anomali ThreatStream? Закажите демо и тестирование прямо сейчас.

Заказать демо Anomali

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/

Похожие записи