0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Секунды на спасение сети: Positive Technologies радикально ускорили поиск киберугроз

Positive Technologies PT Fusion киберугрозы SOC API
Секунды на спасение сети: Positive Technologies радикально ускорили поиск киберугроз
Positive Technologies PT Fusion киберугрозы SOC API

Что еще изменилось в новой версии PT Fusion.

image

Positive Technologies представила версию 1.5 портала PT Fusion для работы с данными о киберугрозах. Обновление включает интеграцию с PT Threat Intelligence Feeds, полнотекстовый поиск по библиотеке угроз, интерактивные панели со статистикой и расширенный API.

Аналитики SOC, специалисты по киберразведке и сотрудники, которые занимаются реагированием на компьютерные инциденты, получили возможность выгружать потоки данных об угрозах в нескольких форматах под разные задачи. STIX подходит для интеграции с большинством средств защиты информации, JSON с расширенным контекстом рассчитан на продукты Positive Technologies, CSV - для быстрого выявления угроз.

PT Threat Intelligence Feeds объединяет индикаторы компрометации, которые эксперты PT Expert Security Center собирают по итогам расследований и анализа активности хакерских группировок. Через портал пользователи могут получать свежие наборы данных с вредоносными доменами, IP-адресами, ссылками и хеш-суммами файлов.

В PT Fusion также появился полнотекстовый поиск по библиотеке угроз. Система позволяет искать сведения о хакерских группировках, семействах вредоносного ПО, уязвимостях и других объектах с помощью запросов на естественном языке. В качестве запроса можно использовать фрагмент отчета об инциденте или тактику из матрицы MITRE ATT&CK. В компании заявили, что новый механизм сократил время поиска ключевых данных с нескольких минут до секунд.

В портале добавили раздел Статистика угроз с интерактивными дашбордами. На панели выводятся сведения об активности хакерских группировок, семействах вредоносного ПО, распределении атак по секторам экономики и динамике фишинговой активности. Пользователям также доступна лента отчетов. По словам разработчика, раздел помогает дежурным аналитикам SOC быстро получать сводку по актуальным угрозам, а руководителям ИБ-подразделений и риск-менеджерам - расставлять приоритеты и распределять ресурсы.

Разработчик также расширил возможности публичного API PT Fusion. Срабатывания средств защиты теперь можно автоматически обогащать дополнительным контекстом, а вердикт, как утверждают в компании, формируется за несколько секунд. Через API можно проверять индикаторы компрометации, в том числе по массовым спискам, искать схожие файлы по нечетким хешам для выявления родственных образцов вредоносного ПО и отправлять подозрительные файлы на автоматический анализ. Кроме того, интерфейс поддерживает просмотр исторических данных PDNS, регистрационных сведений WHOIS/RDAP и DNS-записей.

Обновление уже доступно пользователям PT Fusion.