Возможности

Система PT Threat Analyzer собирает данные TI из внешних и внутренних источников, представляет их удобном виде, нормализует, дополняет контекстом и передает в продукты Positive Technologies.

Накопление знаний

Получает знания об угрозах из внутренних (песочницы, анализаторы кода, пользователи) и внешних (коммерческие и открытые поставщики данных, WHOIS- и DNS-серверы) источников, агрегирует, упорядочивает и выстраивает связи между ними.

Анализ угроз

Позволяет фильтровать данные об угрозах по разным параметрам: потенциальному ущербу, репутации индикатора, наличию связей и другим. Предоставляет аналитикам подробную информацию об индикаторах компрометации.

Обогащение данных

Обогащает данные дополнительным контекстом, позволяющим узнать больше о потенциальной угрозе.

Распространение информации

Мгновенная доставка актуальных данных в средства защиты информации помогает противостоять реальным угрозам.

Как работает

Как работает PT Threat Analyzer

Преимущества

Превращает разрозненные потоки данных в ценный источник знаний. Автоматически нормализует и консолидирует данные из различных источников и создает единую базу знаний для работы службы ИБ. PT TA собирает данные из разных источников фидов — коммерческих или открытых — и в автоматизированном режиме представляет информацию в едином формате.
Показывает скрытые угрозы. Позволяет обнаружить атаку на ранних этапах за счет актуальных и точных данных. Индикаторы компрометации относятся к инфраструктуре, которую злоумышленники используют для атак. Обычно угрозы обнаруживаются за счет срабатывания сигнатур или правил корреляции на соответствующих событиях безопасности. Когда мы импортируем в SIEM-систему и СЗИ индикаторы компрометации, мы можем обнаружить атаку раньше, чем сработает сигнатура или правило корреляции.
Ускоряет обработку событий. Сокращает время подтверждения и приоритизации инцидента. Когда сотрудник SOC анализирует событие, он проверяет артефакты из карточки этого события во внешних базах, пытаясь обнаружить признаки компрометации, — так он может обнаружить, что, например, IP-адрес является командным сервером ботнета. PT Threat Analyzer позволяет сотруднику службы мониторинга быстро получать информацию, которая ему необходима.
Блокирует угрозы за счет передачи актуальных данных о серьезных угрозах на сетевые СЗИ. PT Threat Analyzer формирует выборку индикаторов компрометации по заданным параметрам. Эта выборка регулярно обновляется и использует сетевые СЗИ (NGFW, WAF, веб-прокси).
Упрощает анализ угроз. PT Threat Analyzer позволяет приоритизировать угрозы на основании их актуальности, уровня достоверности и взаимосвязей. Для сущности рассчитывается степень уверенности в том, что она является индикатором компрометации, автоматически выстраиваются связи между сущностями, которые, например, могут связать IP-адрес и семейство вредоносного ПО или вредоносную группировку. Связи отображаются как в табличном виде, так и в виде графа.
Обогащает данные для внешних систем. REST API позволяет добавлять и получать информацию по объектам, их атрибутам и связям между объектами. Все функции системы доступны через REST API.

Создаем синергию со средствами защиты информации

MaxPatrol SIEM

Позволяет искать признаки компрометации в событиях безопасности.

Предоставляет информацию по артефактам в корреляционном событии для подтверждения и приоритизации инцидента.
PT Network Attack Discovery

Позволяет искать признаки компрометации в сетевом трафике на основе репутационных списков с индикаторами компрометации. Благодаря этому оператор PT NAD может получить дополнительную информацию по обнаруженному артефакту.
PT Sandbox

Передает в PT Threat Analyzer отчеты с результатами статического и динамического анализа файлов. Данные из PT Sandbox пополняют базу индикаторов компрометации PT TA.

Основные возможности

Карточка индикатора
Карточка индикатора
Предоставляет аналитикам подробную информацию об индикаторах компрометации.
Отчеты
Отчеты
Позволяют группировать данные об объектах.
Граф связей
Граф связей
Показывает связи между объектами.
Поведенческий анализ файлов в песочнице
Поведенческий анализ файлов в песочнице
PT Threat Analyzer позволяет перенаправить файл в песочницу (не входит в состав PT TA) и проанализировать его, смоделировав поведение в виртуальном окружении, изолированном от информационной системы организации.
Настраиваемые правила обогащения
Настраиваемые правила обогащения
Позволяют автоматически или вручную создавать задачи на обогащение объекта или артефакта в указанном источнике.
Репутационные списки
Репутационные списки
Обновляются в реальном времени и позволяют группировать объекты по общим признакам в соответствии с запросом. Могут включать, например, все вредоносные объекты, существующие в системе, или все IP-адреса (домены), являющиеся Tor-узлами.
Сводка данных
Сводка данных
Показывает на графиках и диаграммах статистику регистрации и обогащения данных в системе.

Использование Threat Intelligence для выявления актуальных угроз

Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer
Интегрируем threat intelligence в систему защиты информации с новой версией PT Threat Analyzer
PT Threat Analyzer: используем threat intelligence для выявления актуальных киберугроз