PT Fusion теперь позволяет интегрировать потоки данных об угрозах напрямую в средства защиты

Компания Positive Technologies, один из лидеров результативной кибербезопасности, представила новую версию портала для работы с данными о киберугрозах PT Fusion — 1.5. Аналитики SOC, специалисты по киберразведке (threat intelligence, TI) и специалисты по реагированию на компьютерные инциденты теперь могут скачивать потоки данных об угрозах в подходящем формате и обогащать срабатывания СЗИ. Кроме того, облачный сервис стал удобнее благодаря интерактивным дашбордам, расширенным функциям API и полнотекстовому поиску по библиотеке угроз.

Новая версия PT Fusion интегрирована с PT Threat Intelligence Feeds. Продукт объединяет потоки данных об индикаторах компрометации (IoC), собранных специалистами экспертного центра безопасности PT Expert Security Center (PT ESC) по итогам сотен реальных расследований и изучения деятельности хакерских группировок. Пользователи портала могут скачивать свежие наборы IoC в том формате, который необходим для решаемой задачи. Так, STIX подойдет для простой интеграции с большинством СЗИ, JSON с расширенным контекстом — для продуктов Positive Technologies, а CSV — для быстрого детектирования угроз.

«Мы продолжаем насыщать PT Fusion данными о киберугрозах и расширять базу источников. Теперь воспользоваться всеми возможностями PT Threat Intelligence Feeds можно прямо на портале. Это значит, что специалисты SOC и TI-департаментов получили доступ к данным о вредоносных доменах, IP-адресах, ссылках и хеш-суммах файлов, которые помогут еще быстрее узнавать о современных угрозах ИБ и противодействовать им, — отмечает Денис Кувшинов, руководитель департамента threat intelligence экспертного центра безопасности Positive Technologies. — Для получения актуальных данных достаточно одного запроса к PT Threat Intelligence Feeds в день. Портал поддерживает широкий перечень СЗИ, что позволяет свободно использовать его, не адаптируя под отдельные системы, даже если они находятся в закрытом сетевом контуре».

В обновленном PT Fusion реализован полнотекстовый поиск данных по библиотеке угроз. Теперь специалисты SOC и киберразведки могут находить сведения о хакерских группировках, семействах ВПО и уязвимостях, а также другую информацию, делая запросы на естественном языке. В качестве запроса можно использовать, например, фрагмент отчета о событии ИБ или одну из тактик матрицы MITRE ATT&CK. Система выдаст релевантные результаты по всем объектам библиотеки угроз. Новый механизм позволил сократить время поиска ключевых данных с нескольких минут до секунд, что, в свою очередь, упростило выявление и анализ угроз.

PT Fusion пополнился разделом «Статистика угроз» с интерактивной панелью мониторинга. На дашбордах отображаются наиболее активные зафиксированные хакерские группировки, семейства вредоносного ПО, распределение атак по секторам экономики и динамика фишинговой активности. Помимо этого, пользователям доступна лента отчетов. Благодаря новой панели дежурные аналитики SOC могут получать мгновенную сводку актуальных угроз, а руководители подразделения ИБ и риск-менеджеры — объективную основу для приоритизации задач и распределения ресурсов команды.

Были расширены возможности публичного API PT Fusion. Теперь срабатывания средств защиты информации могут автоматически обогащаться контекстом, причем вердикт будет сформирован за несколько секунд. Используя API, можно проверять индикаторы компрометации, в том числе по массовым спискам, искать схожие файлы по нечетким хешам для выявления родственных образцов ВПО и отправлять подозрительные образцы ПО на автоматический анализ специализированным СЗИ. Кроме того, пользователи могут отслеживать исторические данные PDNS , регистрационные данные (WHOIS/RDAP) и записи DNS.

Обновления уже доступны всем пользователям PT Fusion. Опробовать портал можно в течение 30 дней. Для этого оставьте заявку на тест-драйв по ссылке.