PT Threat Analyzer — это программная платформа для накопления знаний о существующих и потенциальных угрозах информационной безопасности, а также о способах их обнаружения. PT Threat Analyzer собирает, анализирует и хранит данные об угрозах информационной безопасности и индикаторах компрометации, которые могут быть выделены в рамках угрозы. Индикаторы компрометации — это артефакты, наблюдаемые в сети или в операционной системе и указывающие на вредоносную активность в инфраструктуре.
Возможности продукта
Превращает разрозненные потоки данных в ценный источник знаний
Автоматически нормализует и консолидирует данные из различных источников и создает единую базу знаний для работы службы ИБ. PT TA собирает данные из разных источников фидов — коммерческих или открытых — и в автоматизированном режиме представляет информацию в едином формате.
Показывает скрытые угрозы
Позволяет обнаружить атаку на ранних этапах за счет актуальных и точных данных. Индикаторы компрометации относятся к инфраструктуре, которую злоумышленники используют для атак. Обычно угрозы обнаруживаются за счет срабатывания сигнатур или правил корреляции на соответствующих событиях безопасности. Когда мы импортируем в SIEM-систему и СЗИ индикаторы компрометации, мы можем обнаружить атаку раньше, чем сработает сигнатура или правило корреляции.
Ускоряет обработку событий
Сокращает время подтверждения и приоритизации инцидента. Когда сотрудник SOC анализирует событие, он проверяет артефакты из карточки этого события во внешних базах, пытаясь обнаружить признаки компрометации, — так он может обнаружить, что, например, IP-адрес является командным сервером ботнета. PT Threat Analyzer позволяет сотруднику службы мониторинга быстро получать информацию, которая ему необходима.
Блокирует угрозы
За счет передачи актуальных данных о серьезных угрозах на сетевые СЗИ. PT Threat Analyzer формирует выборку индикаторов компрометации по заданным параметрам. Эта выборка регулярно обновляется и использует сетевые СЗИ (NGFW, WAF, веб-прокси).
Упрощает анализ угроз
PT Threat Analyzer позволяет приоритизировать угрозы на основании их актуальности, уровня достоверности и взаимосвязей. Для сущности рассчитывается степень уверенности в том, что она является индикатором компрометации, автоматически выстраиваются связи между сущностями, которые, например, могут связать IP-адрес и семейство вредоносного ПО или вредоносную группировку. Связи отображаются как в табличном виде, так и в виде графа.
Обогащает данные для внешних систем
REST API позволяет добавлять и получать информацию по объектам, их атрибутам и связям между объектами. Все функции системы доступны через REST API.