PT Threat Analyzer

Система PT Threat Analyzer собирает данные TI из внешних и внутренних источников, представляет их удобном виде, нормализует, дополняет контекстом и передает в продукты Positive Technologies.

Основные функции:

Накопление знаний

• Получает знания об угрозах из внутренних (песочницы, анализаторы кода, пользователи) и внешних (коммерческие и открытые поставщики данных, WHOIS- и DNS-серверы) источников, агрегирует, упорядочивает и выстраивает связи между ними.

Анализ угроз

• Позволяет фильтровать данные об угрозах по разным параметрам: потенциальному ущербу, репутации индикатора, наличию связей и другим. Предоставляет аналитикам подробную информацию об индикаторах компрометации.

Обогащение данных

• Обогащает данные дополнительным контекстом, позволяющим узнать больше о потенциальной угрозе.

Распространение информации

• Мгновенная доставка актуальных данных в средства защиты информации помогает противостоять реальным угрозам.

Преимущества

Превращает разрозненные потоки данных в ценный источник знаний

• Автоматически нормализует и консолидирует данные из различных источников и создает единую базу знаний для работы службы ИБ. PT TA собирает данные из разных источников фидов – коммерческих или открытых – и в автоматизированном режиме представляет информацию в едином формате.

Показывает скрытые угрозы

• Позволяет обнаружить атаку на ранних этапах за счет актуальных и точных данных. Индикаторы компрометации относятся к инфраструктуре, которую злоумышленники используют для атак. Обычно угрозы обнаруживаются за счет срабатывания сигнатур или правил корреляции на соответствующих событиях безопасности. Когда мы импортируем в SIEM-систему и СЗИ индикаторы компрометации, мы можем обнаружить атаку раньше, чем сработает сигнатура или правило корреляции.

Ускоряет обработку событий

• Сокращает время подтверждения и приоритизации инцидента. Когда сотрудник SOC анализирует событие, он проверяет артефакты из карточки этого события во внешних базах, пытаясь обнаружить признаки компрометации, – так он может обнаружить, что, например, IP-адрес является командным сервером ботнета. PT Threat Analyzer позволяет сотруднику службы мониторинга быстро получать информацию, которая ему необходима.

Блокирует угрозы

• За счет передачи актуальных данных о серьезных угрозах на сетевые СЗИ. PT Threat Analyzer формирует выборку индикаторов компрометации по заданным параметрам. Эта выборка регулярно обновляется и использует сетевые СЗИ (NGFW, WAF, веб-прокси).

Упрощает анализ угроз

• PT Threat Analyzer позволяет приоритизировать угрозы на основании их актуальности, уровня достоверности и взаимосвязей. Для сущности рассчитывается степень уверенности в том, что она является индикатором компрометации, автоматически выстраиваются связи между сущностями, которые, например, могут связать IP-адрес и семейство вредоносного ПО или вредоносную группировку. Связи отображаются как в табличном виде, так и в виде графа.

Обогащает данные для внешних систем

• REST API позволяет добавлять и получать информацию по объектам, их атрибутам и связям между объектами. Все функции системы доступны через REST API.