Компания «Инфосистемы Джет» объявила, что предложит своим заказчикам решения для киберразведки Anomali: ThreatStream, Match и Lens, которые также могут выступать компонентами платформы Altitude. В отличие от традиционных решений для киберразведки платформа Anomali не только предоставляет оперативные данные о новых угрозах, но и позволяет провести комплексный анализ инцидентов, а также автоматизировать исследование индикаторов компрометации.

«Инфосистемы Джет» будет внедрять решения Anomali в рамках партнерского соглашения с вендором. Перед включением решений Threat Stream, Match и Lens в портфель услуг компании специалисты «Инфосистемы Джет» провели их тестирование и проверили возможность интеграции платформы с другими системами ИБ (SIEM, FW, EDR и др.). Тестирование Anomali Lens проводили специалисты Jet CSIRT – центра мониторинга и реагирования на инциденты компании «Инфосистемы Джет».

Как поясняют в «Инфосистемы Джет», специалисты компании убедились, что решения Anomali помогают быстрее реагировать на инциденты за счет того, что исключают рутинную работу по ручному поиску связей между индикаторами компрометации и инцидентами, и остались довольны тем спектром возможностей, которые предлагают все три компонента вместе – ThreatStream, Match и Lens. Тестовая интеграция с SIEM-системами ArcSight и FortiSIEM прошла без сложностей, а взаимодействие решений с межсетевыми экранами Check Point позволило настроить моментальное реагирование на появление новых данных.

Решение ThreatStream позволяет получать оперативные данные (индикаторы компрометации) из разных источников для противодействия новым угрозам. Среди его особенностей – возможность сопоставлять потоки данных от различных поставщиков, встроенная система скоринга и функции обогащения информации дополнительными данными. За счет интеграции с SIEM-системами, межсетевыми экранами и другими системами ИБ ThreatStream позволяет усиливать защиту по мере обнаружения новых угроз в реальном времени.

Решение Anomali Match предназначено для аналитики кибербезопасности. С его помощью специалисты ИБ могут узнавать о случаях, когда устройства уже были скомпрометированы, но данные об индикаторах таких атак еще не были известны поставщикам подписок ИБ. Система обладает функциями проактивного поиска угроз (Threat Hunting), сетевой форензики (Network Forensic) и ретроспективного анализа (Retrospective Analysis). Последний позволяет обнаруживать следы компрометации в архивах событий сроком давности до 10 лет. Возможность долгосрочного анализа обеспечивается специальным механизмом сжатия данных и выборочного хранения ключевых полей событий. Для решения своих задач Match использует базу постоянно обновляющихся данных об индикаторах компрометации (IoC).

Решение Anomali Lens представляет собой контент-парсер на базе инструмента natural language processing (NLP), который устанавливается в виде плагина для браузера. Anomali Lens анализирует и автоматически подсвечивает на веб-страницах и в веб-приложениях те данные, которые могут относиться к угрозам информационной безопасности. В том числе плагин обнаруживает индикаторы компрометации, APT-группировки и их кампании, названия вредоносных файлов, а также техники, тактики и процедуры (TTP) согласно матрице MITRE.