Kaspersky lanserar nu en centraliserad Threat Intelligence-plattform
Den nya kommersiella versionen kan integreras med alla vanliga lösningar för säkerhetsinformation och händelsehantering (SIEM) samt säkerhetskontroller.
Den ger också grafiska visualiseringar för att göra hanteringen effektivare. Communityversionen av CyberTrace kommer även fortsättningsvis att vara gratis.
Många hotinformationskällor bearbetar stora mängder information och genererar miljontals varningar. Det gör informationen fragmenterad och presenterad i många olika format, vilket gör det svårt för säkerhetsteam att prioritera, nivåindela och validera incidenter på ett effektivt sätt. Det resulterar i att IT-säkerhetsavdelningars största utmaning fortfarande är förmågan att identifiera verkliga hot.
– Eftersom cyberhotslandskapet blir allt mer komplext behöver verksamheter ha övergripande lösningar som hjälper dem att snabbt identifiera, utreda och vidta åtgärder med hög kvalitet, säger Ariel Jungheit, Senior Security Researcher på Kaspersky. Kasperskys utökade CyberTrace för företag och MSSP:er kombinerar rik funktionalitet med flexibilitet att anpassa och ställa in individuella varningar och nivåer samt att utvärdera dem baserat på olika hotinformationskällor. Detta gör att säkerhetsteam mer effektivt kan fokusera på de mest relevanta informationen.
För att hjälpa verksamheter att identifiera, utreda och hantera IT-säkerhetshot och samtidigt öka effektiviteten i IT-säkerhetsarbetet har Kaspersky uppgraderat sitt CyberTrace-verktyg till en centraliserad hotinformationsplattform.
Den nya versionen har avancerade funktioner som gör det möjligt för säkerhetsteam att utföra komplexa sökningar över alla indikatorområden, analysera händelser de upptäcker och skilja dem från tidigare kontrollerade händelser, mäta effektiviteten i integrerade flöden och ge en översiktsmatris för alla flöden. Den erbjuder också ett publikt API för integration med automatiserade arbetsflöden. Dessutom stöder plattformen nu multianvändarfunktioner som gör det lättare att leda verksamheten och aktiviteterna som hanteras av olika användare och hantera händelser från olika delar separat. Den kommersiella versionen som är lämplig för stora företag och MSSP:er möjliggör bearbetning och nedladdning av ett obegränsat antal EPS:er och IoC:er.
Kaspersky CyberTrace kommer även fortsättningsvis att vara gratis för användare av community-versionen. Denna version tillhandahåller alla nuvarande funktioner, samt de nya funktionerna som nämns ovan, förutom möjligheten att lägga till konton för flera användare och flera ingående grenar. Antalet bearbetade händelser per sekund är också begränsat (upp till 250) liksom antalet indikatorer som kan laddas ner (upp till en miljon).
Unik integration
Kaspersky CyberTrace integreras smidigt med alla vanliga SIEM-lösningar och säkerhetskontroller och stöder alla hotintelligensflöden i formaten STIX 2.0/2.1/1.0/1.1, JSON, XML och CSV. Som standard inkluderar lösningen inbyggd integration med en bred portfölj av Kaspersky Threat Data Feeds som genereras av hundratals av företagets experter, inklusive säkerhetsanalytiker från hela världen och företagets ledande GReAT- och FoU-team.
Ett vanligt förekommande problem med att ta in många IoC:er till SIEM är att det kan leda till förseningar i behandlingen av incidenter och att incidenter inte upptäcks. Kaspersky CyberTrace extraherar automatiskt IoC från loggar som kommer till SIEM och analyserar dem internt i den inbyggda motorn. Det möjliggör snabbare bearbetning av ett obegränsat antal IoC:er utan att överbelasta SIEM.
Enkel hantering
En översiktsvy med statistisk detekteringsdata uppdelad efter hotinformationskälla hjälper användare att identifiera och mäta vilka strömmar av hotintelligens som är mest relevanta för deras verksamhet. Multi-tenancy-funktionen underlättar kunskapsdelning och rapportering till beslutsfattare, vilket möjliggör för användare att hantera händelser från olika delar (tenants).
Möjligheten att tagga IoC:er hjälper användare att utvärdera allvaret i en incident. IoC kan också automatiskt sorteras och filtreras baserat på taggar och viktning. Denna funktion förenklar hanteringen av grupper av IoC:er och deras relevans.
Behändigt verktyg för hotutredning
För att få en fullständig överblick över en incident och förstå dess omfattning inkluderar tjänsten nu också Research Graph. Det här verktyget hjälper analytiker att studera sambanden mellan indikatorer och utveckla en incidentperimeter i en grafisk visualisering som gör det enklare att vidta effektiva åtgärder. Relationer etableras beroende på vilka flöden som tas in i Kaspersky CyberTrace, ytterligare information från Threat Intelligence Portal och manuellt tillagda indikatorer.
Ett REST API låter analytiker slå upp och hantera hotintelligens eller enkelt integrera plattformen i komplexa miljöer för automatisering och orkestrering.
