PT Threat Analyzer


Система PT Threat Analyzer собирает данные TI из внешних и внутренних источников, представляет их удобном виде, нормализует, дополняет контекстом и передает в продукты Positive Technologies.

Преимущества

Превращает разрозненные потоки данных в ценный источник знаний.

 Автоматически нормализует и консолидирует данные из различных источников и создает единую базу знаний для работы службы ИБ. PT TA собирает данные из разных источников фидов — коммерческих или открытых — и в автоматизированном режиме представляет информацию в едином формате.

Показывает скрытые угрозы

Позволяет обнаружить атаку на ранних этапах за счет актуальных и точных данных. Индикаторы компрометации относятся к инфраструктуре, которую злоумышленники используют для атак. Обычно угрозы обнаруживаются за счет срабатывания сигнатур или правил корреляции на соответствующих событиях безопасности. Когда мы импортируем в SIEM-систему и СЗИ индикаторы компрометации, мы можем обнаружить атаку раньше, чем сработает сигнатура или правило корреляции.

Ускоряет обработку событий

Сокращает время подтверждения и приоритизации инцидента. Когда сотрудник SOC анализирует событие, он проверяет артефакты из карточки этого события во внешних базах, пытаясь обнаружить признаки компрометации, — так он может обнаружить, что, например, IP-адрес является командным сервером ботнета. PT Threat Analyzer позволяет сотруднику службы мониторинга быстро получать информацию, которая ему необходима.

Блокировка угроз

Блокирует угрозы за счет передачи актуальных данных о серьезных угрозах на сетевые СЗИ. PT Threat Analyzer формирует выборку индикаторов компрометации по заданным параметрам. Эта выборка регулярно обновляется и использует сетевые СЗИ (NGFW, WAF, веб-прокси).

Упрощает анализ угроз

 PT Threat Analyzer позволяет приоритизировать угрозы на основании их актуальности, уровня достоверности и взаимосвязей. Для сущности рассчитывается степень уверенности в том, что она является индикатором компрометации, автоматически выстраиваются связи между сущностями, которые, например, могут связать IP-адрес и семейство вредоносного ПО или вредоносную группировку. Связи отображаются как в табличном виде, так и в виде графа.

Обогащает данные для внешних систем

 REST API позволяет добавлять и получать информацию по объектам, их атрибутам и связям между объектами. Все функции системы доступны через REST API. 

Как работает

По вопросам корпоративных поставок и расчёта стоимости проектов пишите: navigator@nav-it.ru

Запросить КП
Лицензия ФСБ
Направления работы