Компания R-Vision представила версию 2.0 платформы анализа данных об угрозах R-Vision Threat Intelligence Platform (TIP). Ключевые изменения затронули механизм ранжирования индикаторов компрометации и интеграцию с системой R-Vision IRP. Кроме того, у пользователей появилась возможность получения качественных данных с помощью нового источника Threat Intelligence.

Одно из основных обновлений платформы – улучшение скоринговой модели, посредством которой рассчитывается рейтинг индикаторов компрометации. Новая модель проводит расчет рейтинга на основании статистических метрик, которые рассчитываются для собранных данных. При расчете учитывается ряд параметров, в числе которых взаимосвязи индикатора и весь связанный с ним контекст, полнота поступающей информации и своевременность предоставления данных относительно других подключенных источников. Также учитывается факт нахождения или отсутствия индикатора компрометации в списке исключений. Благодаря усовершенствованной скоринговой модели R-Vision TIP аналитики центров мониторинга могут выявлять наиболее релевантные и вредоносные индикаторы компрометации и работать с актуальными для компании угрозами.

Улучшен механизм интеграции с R-Vision IRP: теперь данные событий обнаружения раскладываются по полям индикаторов в карточке инцидента на стороне IRP-системы, а для случаев массовых детектов реализована возможность группировки событий при отправке в R-Vision IRP. Благодаря этой функциональности можно более гибко настраивать реагирование на инциденты в зависимости от количества или степени вредоносности возникающих событий обнаружения.

Пользователи R-Vision TIP 2.0 смогут получать данные об угрозах из нового источника. R-Vision Threat Intelligence feed – это отдельный сервис, который автоматически собирает и обрабатывает TI-отчеты из открытых источников, извлекает из них индикаторы компрометации и связанный контекст и передает все данные в систему. При подключении сервиса R-Vision Threat Intelligence feed к платформе пользователю будут доступны TI-отчеты в человекочитаемом формате. У аналитика будет информация обо всех важных объектах, связанных с отчетом: индикаторах компрометации, злоумышленниках, вредоносном ПО, а также иной контекст. Данные отчета можно проанализировать и использовать для поиска в инфраструктуре организации или для интеграции со средствами защиты. R-Vision Threat Intelligence feed помогает получать качественную и полную информацию об угрозах, не расходуя время аналитиков SOC на обработку отчетов формата pdf вручную и последующее занесение и связывание данных в используемой системе.