Семь новых возможностей в весеннем релизе платформы киберразведки Anomali

Улучшенные инструменты совместной работы в весеннем релизе платформы Anomali позволяют преодолеть разрозненность между командами ИБ и способствует быстрому распространению стратегических данных киберразведки среди штатных аналитиков и коллег по отрасли

Компания Anomali, лидер в сфере средств защиты на основе киберразведки, анонсировала квартальное обновление своего портфеля продуктов. Новый релиз позволяет клиентам выйти за рамки возможностей тактических данных об угрозах благодаря расширенному доступу к высокоточной стратегической киберразведке. Новые функции позволяют проводить более практические расследования, а также повышают точность обнаружения угроз и эффективность реагирования.

Лидирующая в отрасли платформа киберразвездки Anomali ThreatStream получила несколько ключевых функций, которые были разработаны в тесном сотрудничестве с постоянными клиентами по всему миру:

Доверенный чат для аналитиков

Многофункциональный конфиденциальный чат позволяет пользователям свободно и напрямую из рабочего пространства ThreatStream общаться с командами штатных аналитиков и коллегами по отрасли из доверенных кругов (функционал «Trusted Circles»). Благодаря ThreatStream Chat аналитики могут быстро начинать расследования, беспрепятственно принимать в них участие, оценивать влияние атак на их организации и определять шаги, которые нужно предпринять для сдерживания этих атак.

Интеграция с навигатором MITRE ATT&CK

В качестве продолжения к недавнему релизу с поддержкой техник MITRE ATT&CK была добавлена возможность импортировать контент из инструмента MITRE ATT&CK Navigator, что позволяет хранить информацию о способностях организации относительно MITRE ATT&CK в ThreatStream. Аналитики теперь могут использовать этот функционал в разделе Расследования платформы ThreatStream, что позволяет приоритизировать действия и упрощает принятие решений в ходе расследований инцидентов. Это поможет аналитикам работать оперативнее и эффективнее.

Расширенные возможности поиска в модели угроз

В новом релизе функционал расширенного поиска ThreatStream доступен и для контента модели угроз (Threat Model), обеспечивая гибкость и возможности для поиска и уточнения контента, аналогичную возможностям поиска по индикаторам взлома. Теперь пользователи могут создавать расширенные поисковые запросы с условиями и операторами, а также с некоторыми дополнительными возможностями, специфичными для содержимого модели угроз, чтобы быстро находить нужную информацию, а также одним щелчком мыши сохранять свои сложные поисковые запросы для будущего использования.

Клонирование настраиваемых дашбордов

Благодаря расширенным возможностям настраиваемых тематических дашбордов, разработанных Anomali Threat Research, клиенты теперь могут не только добавлять дашборды о конкретных событиях (например, атаки, связанные с COVID, Sunburst и т. д.) для отображения в административной консоли по умолчанию, но и клонировать их, а затем настраивать базовые запросы и виджеты в соответствии со своими конкретными потребностями и предпочтениями.

Обогащение разведданных в модуле расследований

Anomali продолжает улучшать отображение важной информации для пользователей на различных этапах расследования, что гарантирует аналитикам доступ к нужным данным в нужное время и позволяет им быстро и легко выполнять свои задачи. В новом релизе аналитики могут просматривать дополнительные обогащенные данные в графе расследований, что еще больше экономит усилия и сокращает время реагирования. Пользователям реже придется уходить со страницы, чтобы получить больше информации об элементе, по которому ведется расследование. В дополнение к этому, аналитики теперь могут просматривать расширенные результаты для нескольких инидкаторов, обнаруженных в ходе исследования, в рамках единого экрана, что позволяет сравнивать контент и упрощает процесс расследования.

Эти изменения дополняют улучшения в функционале Threat Cards (карточки угроз), недавно выпущенной функции в модуле Расследований, которая показывает ключевую сводную информацию по любому объекту графа, включая список обогащений, доступных для индикаторов, так что пользователи могут просматривать обогащенную или контекстную информацию в рамках экрана «Расследований» без необходимости перемещаться в другое место в платформе.

Другие усовершенствования, добавленные по запросу заказчиков в новый релиз, включают массовую загрузку индикаторов и улучшения в заметках аналитика для любых индикаторов, загруженных или добавленных в расследование.

Контроль рассылки готовых отчетов

После завершения расследования ключевые индикаторы, метрики или отчеты часто распространяются среди заинтересованных сторон, таких как аналитики SOC или руководители, путем отправки по электронной почте отчета, созданного ThreatStream в модуле Finished Intelligence, непосредственно из ThreatStream. В новом релизе добавлены более строгие меры безопасности в отношении распространения готовых отчетов из ThreatStream, позволяя организациям ограничивать домены, на которые такие отчеты могут быть отправлены ​​по электронной почте. По умолчанию организации по-прежнему смогут отправлять итоговые отчеты получателям в любом веб-домене. Чтобы реализовать ограничение, пользователи с правами администратора могут просто применить настройки в области «Администрирование организации».

GreyNoise — новый источник обогащения информации об угрозах

В ThreatStream для активации доступен сервис GreyNoise, новый источник для обогащения индикаторов киберразведки. GreyNoise предоставляет контекст поведения IP-адресов, связанный с массовым сканированием Интернета, с такими данными, как намерение, теги, первое обнаружение, последнее обнаружение, геоданные, порты, ОС и JA3. Клиенты ThreatStream могут использовать этот источник данных для выявления и сокращения количества индикаторов, оставляя больше времени для расследования высокоприоритетных целевых атак.

Марк Альба, главный директор по развитию продуктов Anomali, сообщил: «Организации сталкиваются с очень серьезными угрозами, и для борьбы с ними нужны ответы, скрытые в огромном объеме данных кибербезопасности, с которыми приходится иметь дело. К тому же эти ответы «заперты» в коллективных знаниях и опыте служб ИБ и компаний из этой же отрасли. Мы раскрываем весь потенциал информации, инструментов, а также специалистов по безопасности, которые сталкиваются с общим ландшафтом угроз. Это обновление поможет нашим клиентам быстро делать выводы об угрозах для их организации, и еще больше снизить уровень риска».

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/