Soluția Kaspersky CyberTrace a fost actualizată pentru a include capabilități extinse ale platformei Threat Intelligence cu informații despre amenințări, inclusiv triajul alertelor, analiza datelor referitoare la amenințări și investigarea incidentelor. Noua ediție contra cost se integrează cu toate soluțiile de securitate și management al incidentelor (SIEM) și cu controalele de securitate utilizate în mod obișnuit și oferă vizualizare grafică pentru răspunsuri eficiente. Versiunea de comunitate CyberTrace rămâne disponibilă gratuit.
Surse multiple de informații despre amenințări procesează în mod constant cantități mari de date și generează milioane de alerte. Acest volum de date fragmentate și multiformate face ca prioritizarea, triajul și validarea alertelor să fie incredibil de dificile. De aceea, capacitatea de a identifica amenințările reale rămâne una dintre provocările de top pentru echipele de securitate IT.
Pentru a ajuta echipele de securitate corporativă și pe cele care se ocupă de răspunsul la incidente să faciliteze detectarea, investigarea și răspunsul la amenințări și să sporească eficiența operațiunilor de securitate IT, Kaspersky și-a transformat instrumentul CyberTrace de fuziune și analiză a informațiilor despre amenințări într-o o platformă centralizată Threat Intelligence.
Noua ediție a soluției Threat Intelligence a fost actualizată cu funcții avansate, care permit echipelor de securitate să efectueze căutări complexe în toate câmpurile indicatoare, să analizeze aspecte din evenimentele verificate anterior, să măsoare eficiența fluxurilor integrate și a unei matrici de intersectare a fluxurilor. De asemenea, oferă un API public pentru integrarea cu fluxurile de lucru automate. În plus, platforma acceptă acum funcțiile Multiuser și Multitenancy pentru a controla operațiunile care sunt gestionate de diferiți utilizatori și pentru a gestiona separat evenimentele din diferite ramuri. Ediția plătită, care este potrivită pentru companiile mari și MSSP, acceptă toate caracteristicile și permite procesarea și descărcarea unui număr nelimitat de EPS și IoC.
Platforma Kaspersky CyberTrace rămâne gratuită pentru utilizatori, în ediția sa comunitară. Această versiune oferă toate capabilitățile existente ale soluției, precum și noile funcții menționate mai sus, cu excepția capacității de a adăuga conturi Multiuser și Multitenancy. De asemenea, limitează numărul de evenimente procesate pe secundă (până la 250) și numărul de indicatori care pot fi descărcați (până la un milion).
Abordare unică de integrare
Kaspersky CyberTrace se integrează fără probleme cu toate soluțiile SIEM și controalele de securitate utilizate în mod obișnuit, susținând orice flux de informații despre amenințări în formatele STIX 2.0/2.1/1.0/1.1, JSON, XML și CSV. În mod implicit, soluția include integrarea nativă a unui portofoliu larg Kaspersky Threat Data Feeds, care cuprinde date generate de sute de experți ai companiei, inclusiv analiști de securitate din întreaga lume și echipele sale de vârf GReAT și R&D.
Platforma rezolvă problema ingerării multor Indicatori de compromis (IoC) către SIEM-uri, ceea ce poate duce la întârzieri în procesarea incidentelor și detectări ratate. Kaspersky CyberTrace extrage automat IoC-urile din jurnalele care vin la SIEM-uri și le analizează intern în motorul încorporat al mașinii. Acest lucru permite procesarea mai rapidă a unui număr nelimitat de IoC fără a supraîncărca SIEM.
Administrare simplă
Un dashboard cu date statistice de detectare defalcate în funcție de sursa TI ajută utilizatorii să identifice și să măsoare ce fluxuri de informații despre amenințări sunt cele mai relevante pentru organizația lor, în timp ce caracteristica multi-tenancy facilitează schimbul de cunoștințe și raportarea pentru factorii de decizie cu privire la practicile vizând informațiile despre amenințări, permițând utilizatorilor să gestioneze evenimente din diferite ramuri (tenants).
Abilitatea de a eticheta IoC ajută utilizatorii să evalueze importanța unui incident. IoC-urile pot fi, de asemenea, sortate și filtrate automat pe baza acestor etichete și a ponderii lor. Această caracteristică simplifică gestionarea grupurilor de IoC și relevanța acestora.
Instrumente convenabile pentru investigarea amenințărilor
Pentru a obține o imagine de ansamblu asupra unui incident și a înțelege amploarea acestuia, serviciul include acum Graficul de Cercetare. Acest instrument îi ajută pe analiști să studieze relațiile dintre indicatori și să dezvolte un perimetru de incident într-o formă grafică, pentru răspunsuri mai eficiente. Relațiile sunt construite în funcție de fluxurile ingerate către Kaspersky CyberTrace, optimizările de la Threat Intelligence Portal și indicatorii adăugați manual.
REST API le permite analiștilor să caute și să gestioneze informații despre amenințări sau să integreze cu ușurință platforma în medii complexe pentru automatizare și orchestrare.
„Astăzi, având în vedere complexitatea tot mai mare a peisajului amenințărilor cibernetice, vedem că organizațiile au nevoie de soluții complexe pentru detectarea, investigarea incidentelor și răspunsul mai rapid și de înaltă calitate, la amenințări. CyberTrace de la Kaspersky pentru companii mari și MSSP, combină funcționalitatea bogată de pe piață cu flexibilitatea de a personaliza și de a se adapta la alertele individuale, de a le tria și de a le evalua pe baza diferitelor surse TI, permițând echipelor de securitate să se concentreze pe cele mai relevante notificări într-un mod cât mai eficient”, spune Ariel Jungheit, Senior Security Researcher la Kaspersky.
