Компания R-Vision анонсировала обновление платформы управления данными киберразведки R-Vision Threat Intelligence Platform (TIP) до версии 1.15. В ней реализована возможность распределенной установки сенсоров SIEM, появились новые инструменты управления жизненным циклом, создания и изменения индикаторов компрометации, поддержка формата STIX, расширенная модель данных об угрозах, новые функции для работы с бюллетенями и др.

Платформа R-Vision Threat Intelligence Platform обеспечивает автоматический сбор, нормализацию и обогащение индикаторов компрометации, передачу обработанных данных напрямую на внутренние средства защиты, а также поиск и обнаружение индикаторов в инфраструктуре организации с помощью сенсоров.

Одно из главных новшеств версии 1.15 – возможность устанавливать сенсоры для сбора индикаторов компрометации рядом с потоком событий SIEM-системы. Ранее для обработки этой информации нужно было использовать единый централизованный сенсор, установленный вместе с платформой. Новая функциональность будет востребована крупными организациями с территориально распределенной инфраструктурой, которым необходимо инсталлировать сенсоры непосредственно в филиалах. Все подключенные сенсоры SIEM доступны аналитикам SOC в пользовательском интерфейсе R-Vision TIP, где также предусмотрена возможность их удаленного конфигурирования.

Кроме того, теперь пользователи платформы могут определять время устаревания индикаторов компрометации, задавая собственные политики или пользуясь сведениями поставщиков потоков данных об угрозах. Это позволяет аналитикам ИБ фильтровать потерявшие актуальность индикаторы компрометации и сокращать время на их обработку.

В новой версии платформы также появилась возможность создавать и редактировать индикаторы компрометации, найденные самостоятельно в ИТ-инфраструктуре компании. Пользователи могут вносить в систему всю необходимую информацию: тип, вид, значение, описание, теги, дату и время истечения индикатора и т.д.

Разработчики также дополнили решение инструментом для анализа качества источников данных. Отчеты о подключенных к платформе источниках данных формируются автоматически за заданный период времени, а используемые в них метрики помогают оценить качество получаемых сведений.

Для повышения полноты описания угроз в продукте была расширена модель данных. В ней появился ряд новых сущностей, которые лежат в основе системы атрибуции угроз и помогают пользователям отличить серьезные атаки от незначительных инцидентов и принять оперативные меры по реагированию.

В обновленной версии также реализована возможность ведения пользовательских «белых списков» индикаторов компрометации. Теперь аналитики SOC могут создавать собственные списки доверенных ресурсов для фильтрации заведомо невредоносных индикаторов компрометации на этапе сбора данных. Такие индикаторы будут считаться исключениями и не попадут в базу данных TIP.

Кроме того, в платформе добавилась возможность выгружать индикаторы компрометации в формате STIX 2.1. Это специализированный формат обмена данными киберразведки, который распознается большим количеством систем, позволяет совместно использовать данные об угрозах и получать структурированную информацию об индикаторах компрометации.

В последних версиях платформы реализован механизм создания произвольного количества дашбордов с кастомизируемыми виджетами под конкретные задачи аналитиков SOC. Ряд изменений коснулся и public API: например, появилась возможность выгружать информацию по большому объему индикаторов во внешние системы с помощью всего лишь одного запроса.

Отдельный блок изменений затронул работу с бюллетенями об угрозах и уязвимостях: теперь в них можно добавлять сразу несколько изображений и создавать в системе собственные шаблоны рекомендаций о том, что делать в случае выявления угрозы. Эти обновления помогут организациям с крупной филиальной сетью и MSS-провайдерам повысить скорость распространения важной информации для принятия оперативных мер по реагированию на инциденты ИБ.