Программное обеспечение RVision TIP

R-Vision Threat Feed

– это отдельный сервис, который автоматически собирает и обрабатывает TI-отчеты из открытых источников, извлекает из них индикаторы компрометации и связанный контекст и передает данные в систему.

При подключении

R-Vision Threat Feed

к платформе аналитик получит информацию обо всех важных объектах, связанных с отчетом: индикаторах компрометации, злоумышленниках, вредоносном ПО, а также иной контекст. Данные отчета можно проанализировать и использовать для поиска в инфраструктуре организации или для интеграции со средствами защиты.

R-Vision Threat Feed

помогает получать качественную и полную информацию об угрозах, не расходуя время аналитиков SOC на обработку отчетов формата pdf вручную и последующее занесение и связывание данных в используемой системе.

В процессе обработки индикаторы нормализуются и приводятся к единой модели представления, дублирующиеся индикаторы связываются и объединяются. Каждому индикатору компрометации присваивается рейтинг и определяются политики устаревания индикаторов. R-Vision TIP позволяет обогащать индикаторы компрометации дополнительным контекстом, который отсутствует в исходных данных от поставщика. Более актуальные и полные сведения помогают аналитику принять решение о дальнейших действиях с индикаторами.

• Поддерживается более 20 сервисов обогащения: VirusTotal, Whois, RiskIQ, Ipgeolocation.io, Hybrid Analysis, OPSWAT Metadefender, Shodan, RiskIQ, MaxMind, и другие.

Анализ взаимосвязей помогает ИБ-специалисту правильно интерпретировать данные и сформировать целостную картину угрозы.

R‑Vision TIP

собирает имеющуюся у поставщика информацию об индикаторе и связанные с ним данные:

• вредоносное ПО;
• уязвимости (CVE), список уязвимого ПО (CPE), дефекты безопасности (CWE);
• отчеты;
• субъекты угроз;
• 
  техники, тактики и другой
  
  
  контекст из MITRE ATT&CK®;
  
• другие индикаторы.

Обработанные данные автоматически передаются на имеющиеся внутренние средства защиты из единой базы для немедленной блокировки. Предварительная обработка помогает снизить количество ложных срабатываний, которые могут возникать при использовании сырых данных. Поддерживается автоматическая выгрузка индикаторов на оборудование:

• UserGate;
• Cisco;
• PaloAlto Networks;
• Check Point;
• 
  McAfee;
  
• 
  Ideco UTM;
  
• и другие средства защиты.

Система обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и рассылает оповещения при их обнаружении:

• QRadar;
• ArcSight;
• MaxPatrol SIEM;
• Apache Kafka;
• Smart Monitor;
• другие SIEM-системы.

R‑Vision TIP

позволяет реализовать необходимый сценарий работы с индикаторами в виде заданной последовательности действий и автоматизировать его. В сценарий могут входить такие действия как:

• обогащение контекстом во внешних сервисах и нормализация данных;
• мониторинг в событиях SIEM;
• оповещение в случае обнаружения;
• экспорт индикаторов на средства защиты.

Удобный конструктор бюллетеней позволяет формировать собственные информационные материалы для повышения осведомленности различных кругов заинтересованных лиц.

При помощи конструктора бюллетеней можно создать бюллетени по угрозам и уязвимостям, добавить дополнительные свидетельства, например изображения и аннотации, распространить  бюллетени по подведомственным структурам, а также экспортировать их на внешние системы при помощи API.