Компания R-Vision выпустила новую версию платформы управления данными киберразведки – R-Vision Threat Intelligence Platform (TIP) 1.17. Ключевые изменения затронули модель данных продукта, возможности распределенных сенсоров обнаружения индикаторов компрометации, обработку свободно распространяемых потоков данных об угрозах и формирование бюллетеней.

Для повышения качества описания угроз в версии 1.17 расширена модель данных. Теперь в правилах автоматизации продукта появились фильтры, позволяющие формировать атомарные выборки индикаторов компрометации, связанные с конкретной угрозой, хакерской группировкой или вредоносным ПО. Чтобы максимально сузить выборку, аналитики SOC могут добавлять сразу несколько фильтров. Полученные данные можно экспортировать или, например, отправить в SIEM-систему для поиска релевантных индикаторов компрометации.

В новой версии платформы также улучшены распределенные сенсоры для сбора индикаторов на удаленных площадках рядом с потоком данных SIEM-системы. Теперь для каждого из них можно добавить свою политику, определяющую срок автоматического удаления собранных данных.

Еще одно новшество R-Vision TIP 1.17 касается обработки open source фидов об угрозах. Теперь при добавлении CSV-фидов пользователю доступен конструктор, в котором можно указать, какие объекты и из каких колонок должна собирать платформа. Это дает возможность собирать из CSV-фидов не только индикаторы компрометации, но и ценный контекст для получения более точной информации об угрозе, например, имена вредоносного ПО, временные метки, название вредоносной группировки или кампании.

Расширены также возможности формирования информационных материалов об угрозах и уязвимостях. Ранее для каждой уязвимости в платформе нужно было создавать отдельные бюллетени, теперь же можно сформировать единый бюллетень о множественных угрозах. Эта функция призвана повысить удобство работы ИБ-аналитиков при необходимости распространить информацию и рекомендации по защитным мерам от связанных угроз.