Компании Microsoft и Group-IB, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, сообщили об успешной интеграции Azure Sentinel, облачного решения для управления информационной безопасностью, с системой исследования и атрибуции кибератак Group-IB Threat Intelligence & Attribution (TI&A). Компания Group-IB стала первым разработчиком, прошедшим интеграцию своей платформы в Azure Sentinel в России и СНГ.

Group-IB Threat Intelligence & Attribution – это часть экосистемы продуктов Group-IB, предназначенных для сбора данных о киберугрозах и атакующих, проактивного выявления деятельности киберпреступников и защиты сетевой инфраструктуры. Специалисты, использующие TI&A, получают доступ к коллекции данных даркнета, модели профилирования хакерских групп, а также к полностью автоматизированному графовому анализу, который помогает за секунды провести корреляцию данных и атрибутировать угрозы до конкретной преступной группы. TI&A объединяет уникальные источники данных и опыт компании в расследовании преступлений в сфере высоких технологий и противодействии сложным многоступенчатым атакам по всему миру. Как подчеркивают в Group-IB, система хранит данные о субъектах угроз, доменах, IP-адресах и инфраструктурах, собранные за 15 лет, в том числе о тех, которые преступники пытались скрыть. Функциональные возможности системы позволяют настраивать ее с учетом специфики угроз не только для конкретной отрасли, но и для конкретной компании в конкретной стране.

Задачей разработчиков Group-IB и Miсrosoft в рамках проекта была загрузка баз знаний Group-IB TI&A в Azure Sentinel для автоматического сканирования и обнаружения соответствующих индикаторов TI в журналах источников данных организации для дальнейшего изучения и анализа. В рамках реализации этого проекта, поясняют в Group-IB, были решены задачи автоматизированной доставки из Group-IB TI&A в Azure Sentinel актуальных индикаторов компрометации для дальнейшего изучения и анализа угроз. Такой подход позволит компаниям увеличить скорость реагирования внутренних команд на потенциальный инцидент и усилить защиту инфраструктуры за счет широких возможностей хантинга для предотвращения киберпреступлений еще на этапе их подготовки.