Anomali Match | Расширение индикаторов и обогащение данных
Get COVID-19 Cyber Security Resources Learn More

Anomali Match

Криминалистика в реальном времени

Загрузить информационный лист

Проблема видимости угроз

Каждый день появляются новые угрозы, и список миллионов известных индикаторов компромисса (IOC) расширяется с каждым днем. В связи с этим перед организациями встают две проблемы:

  1. Оценка обнаруженных новых угроз и выявление существующих уязвимостей
  2. Ежедневная проверка миллионов IOC для выявления новых атак

Anomali Match интегрируется с системами управления информационной безопасностью и событиями безопасности (SIEM) и другими источниками журналов и сохраняет записи видимости за последний год или более без дублирования журналов. Исторические данные постоянно анализируются на предмет новых и существующих угроз безопасности для выявления уязвимостей. Криминалистика в реальном времени немедленно обнаруживает совпадения между этими наборами данных и предоставляет аналитикам инструменты для классификации соответствий индикаторов для сортировки и отклика.

Проблема видимости угроз

Обнаружение новых угроз

По мере обнаружения новых угроз организациям необходимо знать, нацелены ли злоумышленники на их сети. Для этого необходимо иметь возможность просмотра данных журналов за последние 6 месяцев или более, чтобы обнаружить потенциальные уязвимости. Anomali Match:

  • Оценивает все входящие, новые данные об угрозах
  • Анализирует каждое сетевое событие за последние 12 месяцев
  • Возвращает все совпадения с угрозами за считанные секунды
  • Отправляет совпадения в SIEM или другой интеграционный центр

Обнаружение существующих угроз

Службы безопасности также должны постоянно отслеживать сетевой трафик для обнаружения активности уже известных угроз. Организации обычно собирают и отслеживают миллионы индикаторов компрометации, что затрудняет мониторинг всей сетевой активности на предмет совпадений. Anomali Match:

  • Собирает неограниченные объемы IOC и управляет ими
  • Выявляет совпадения IOC с данными неограниченного объема журналов
  • Автоматически уведомляет пользователя об активности IOC в журналах
  • Отправляет совпадения индикаторов в SIEM и другие системы

Основные возможности интеграции

Anomali Match интегрируется с источниками аналитической информации об угрозах, источниками данных журналов, системами управления информационной безопасностью и событиями безопасности (SIEM) и другими системами. Когда представляющие интерес индикаторы обнаружены, Anomali Match может автоматически отправлять уведомления в системы SIEM для текущего мониторинга или блокирования.

  • Получает аналитическую информацию об угрозах от ThreatStream
  • Анализирует данные журналов от Syslog, SIEM, AWS S3, Netflow/sFlow
  • Позволяет проводить углубленное изучение угроз в ThreatStream
  • Интегрирует совпадения угроз с системами SIEM, системами реагирования на инциденты

Алгоритмы генерирования доменов (DGA)

Алгоритмы генерирования доменов широко используются во вредоносном ПО для создания доменов управления и контроля. Эти домены часто имеют короткий срок жизни, поэтому не попадают в списки аналитической информации об угрозах. Anomali Match немедленно обнаруживает и оповещает о трафике в доменах DGA, используя сложные алгоритмы машинного обучения. Более того, он связывает обнаруженные домены DGA с определенными семействами вредоносного ПО.

Threat Intelligence: A New Approach

Learn more about Anomali’s approach to operationalizing threat intelligence