Anomali

Обзор Anomali Threat Platform

Журнал SC Magazine выпустил обзор платформы Anomali Threat Platform, наградив решение статусом Best Buy. Мы публикуем расширенную адаптацию этого обзора.

Платформа Anomali Threat Platform позволяет организациям создавать единую централизованную среду для сбора, управления, обмена, интеграции и анализа всей имеющейся у них информации о киберугрозах. Anomali помогает организациям выявлять сложные угрозы, исследовать злоумышленников и эффективно реагировать на возникающие инциденты.

Anomali - SC Magazine

Платформа по работе с угрозами Anomali Threat Platform состоит из двух основных компонентов — Anomali ThreatStream для работы с информацией об угрозах и Anomali Enterprise для контекстного выявления угроз в организации, хантинга и ретроспективного поиска. Рассмотрим каждую из этих компонент подробнее.

Anomali ThreatStream

Модуль Anomali ThreatStream отвечает за работу с моделью угроз и индикаторами взлома (IOC). Организации могут импортировать внешние фиды и собственные данные киберразведки непосредственно в платформу в различных форматах, в том числе в виде текста, в формате STIX, в файлах различных форматов и по электронной почте. Anomali также включает пакет разработчика (SDK) и программный интерфейс (API) для фидов, обогащения данных и интеграций с СЗИ, а также поддержку разработки этих элементов.

Платформа анализирует полученные фиды с помощью нескольких встроенных алгоритмов, выявляя пересечения, надежность и активность фидов, что позволяет снижать число ложных срабатываний и дубликатов. Поступающие индикаторы получают оценки уровня критичности и достоверности. Кроме того, ThreatStream содержит возможность анализа файлов в песочнице. Например, если платформа получает письмо с вложением, аналитик может использовать встроенную песочницу для детонации этого сэмпла и импорта индикаторов в платформу. Удобным является функционал пивотинга по системе для просмотра детальной информации как о самом вложении, так и связанных с ним угрозах или событиях.

Интерфейс Anomali ThreatStream

Аналитики могут обогащать каждый индикатор компрометации (IOC) для получения дополнительной информации, например, о том, активна ли угроза, ее тип, злоумышленники, кампании и уязвимости, связанные с индикатором, и т.д. За счет интеграции с SIEM-системами Anomali отображает детектирования индикаторов в среде заказчика прямо на странице индикатора. Платформа позволяет вести расследования Threat Intelligence и назначать их пользователям или рабочим группам. Инструментарий совместной работы обеспечивает тщательный анализ угроз благодаря возможностям гибкого разграничения доступа и обязанностей как между аналитиками внутри организации, так и при подключении внешних организаций.

Anomali Enterprise

Модуль Anomali Enterprise позволяет выявлять полный объем новых и исторических индикаторов взлома в текущем потоке событий в режиме реального времени, а также проводить ретроспективный поиск. Это позволяет выявлять инциденты без присущих SIEM-системам ограничений по срокам анализа и объему данных киберразведки.

Anomali Enterprise также может импортировать и использовать данные об активах организации и их уязвимостях, что позволяет увидеть картину присутствия угрозы в сети в контексте этих данных. Для каждой обнаруженной угрозы Anomali Enterprise отображает подробную информацию о злоумышленнике, его мотивах, целевых отраслях,  ассоциированные индикаторы, TTP с наложением на матрицу MITRE ATT&CK, а также отчеты и историческую информацию. Возможности интеграций и автоматических действию при обнаружении инцидента позволяют ускорить сдерживание угрозы в сети организации.

Интерфейс Anomali Enterprise

Дашборды Anomali Threat Platform содержат полезную информацию, например, изменения в поступающих и обнаруженных индикаторах, статистику по наиболее атакующим странами т.п. Двусторонняя связь с SIEM позволяет отображать выявленные угрозы на трехмерной географической карте, которая может быть выведена на большой экран в SOC и использовать для визуализации ландшафта угроз организации в режиме 24/7. Также организации могут добавлять новые виджеты на дашборды и настраивать параметры их отображения для групп или отдельных пользователей. Решение позволяет экспортировать все данные в PDF-файлы с различными опциями создания отчетов. 

Уникальным функционалом Anomali также является платформа Trusted Circles для совместной работы аналитиков, сообществ и организаций, позволяющая обмениваться информацией и получать дополнительную информацию из приватных доверенных источников как внутри организации, так и вне ее.

Платформа Anomali Threat Platform представляет собой интегрированный пакет решений, созданный для выявления сложных угроз, расследования действий злоумышленников и эффективного и действенного реагирования на инциденты, и доступна в виде облачного сервиса, на площадке заказчика или в полностью изолированной среде. 

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.