Автоматическое обнаружение с использованием всех данных анализа угроз
Непрерывное автоматическое обнаружение киберугроз в сети с использованием всех аналитических данных и всех данных телеметрии.
Ускоренное обнаружение угроз
Anomali Match использует все доступные аналитические данные и телеметрию для комплексного обнаружения угроз со скоростью машины. Среднее время обнаружения сокращается, убытки от инцидентов безопасности снижаются, а операции по обеспечению безопасности становятся более эффективными.
Обнаружение всех угроз в вашей среде
Обнаружение угроз с использованием всех доступных данных
Решение Match использует все ваши активные функции анализа угроз и сопоставляет их со всеми журналами событий для непрерывного обнаружения вредоносных действий в сети.
Обнаружение новых выявленных угроз в вашей сети
Решение Match непрерывно анализирует архивные данные журналов с учетом новых данных об угрозах, чтобы выявить признаки прошлых нарушений безопасности.
Приоритизация реагирования на угрозы с учетом ценности ресурсов и рисков
Match присваивает угрозам рейтинг на основе ценности ресурсов, уязвимостей и серьезности угрозы, что позволяет определить приоритетность рисков и обеспечить реагирование.
Автоматизация обнаружения угроз с помощью всех доступных телеметрических и аналитических функций
Решения SIEM и управления журналами ограничены объемами IOC и журналов событий, которые они могут хранить и сканировать, что затрудняет выявление всех потенциальных угроз, с которыми может столкнуться организация.
Решение Match разработано специально для обнаружения известных угроз в масштабе всей организации с помощью аналитики big data и машинного обучения, что позволяет постоянно сопоставлять огромные объемы журналов событий со всеми аналитическими данными об активных угрозах.
- Постоянная корреляция десятков миллионов IOC с миллиардами событий
- Определение совпадений индикатора угрозы, тактик, техник и процедур (TTP), злоумышленника, уязвимости или данных из бюллетеня по угрозам в журналах событий
- Автоматическое оповещение систем SIEM, SOAR или отслеживания ошибок
Ответ на непростой вопрос: «На нас это повлияло?»
Если в мире обнаружена новая угроза, изучение архива логов, чтобы узнать, не подвергались ли вы риску, может оказаться длительным и дорогостоящим процессом.
Решение Match в течение нескольких секунд сообщает об обнаружении индикатора угрозы в ваших исторических данных о событиях за прошедшие месяцы или годы.
- Поиск по журналам событий за последние пять лет или более
- Поиск индикаторов угроз, тактик, техник и процедур (TTP), злоумышленников, уязвимостей или бюллетеней по угрозам
- Отображение всех совпадений по угрозам за считаные секунды
- Передача этих совпадений в системы SIEM, SOAR или систему отслеживания ошибок
Определение приоритета реагирования с учетом ценности ресурса, уязвимости и серьезности угрозы
Выявив вредоносное поведение в сети, можно решить, с какими угрозами наиболее важно работать в первую очередь.
Anomali Match включает данные сканирования ресурсов и уязвимостей в результаты обнаружения угроз, позволяя аналитикам определять приоритеты восстановления на основе рисков.
- Быстрое определение основных ресурсов, где наблюдается вредоносная активность
- Определение приоритета реагирования с учетом степени риска и важности ресурса
- Отслеживание вредоносных действий до исходной точки вторжения и просмотр хронологии компрометации

Определение ботов в сети, подключающихся к серверам C&C.
Многие бот-сети маскируют обмен данными с серверами управления и контроля (C&C) с помощью алгоритмов генерации доменов (DGA) для обхода списков блокирования IP-адресов.
Match использует усовершенствованную модель машинного обучения для прогнозирования вредоносных доменов и их обнаружения в журналах событий.
- Выявление событий, в которых обнаружены домены DGA
- Определение семейства вредоносных программ, которое, скорее всего, создало домены DGA
- Определение ресурсов, которые обмениваются данными с помощью домена DGA
Обнаружение угроз по таким критериям, как источник, бюллетень по угрозам или уязвимость
Хитроумные злоумышленники научились динамически изменять IOC, чтобы избежать обнаружения, но изменить тактику, методы и процедуры (TTP) не так-то просто.
Решение Match позволяет специалистам по безопасности выявлять угрозы в вашей среде на основе TTP, источников, кампаний, бюллетеней по угрозам и уязвимостей. После определения источника угрозы в сети можно проанализировать TTP с помощью структуры MITRE ATT&CK и карт активности.
- Поиск вторжений в среду по источнику угроз, TTP, бюллетеням об угрозах, кампаниям или уязвимостям
- Просмотр сведений о совпадении событий, включая время задержки, серьезность и источник/место назначения события
- Анализ тактики, методов и процедур (TTP) для выбранного источника на карте активности матрицы MITRE ATT&CK

Определение «нулевого пациента»
После заражения вредоносным ПО многие организации начинают игру в кошки-мышки: они знают, что произошло заражение, принимают меры по его устранению, но оно появляется снова и снова.
Решение Match автоматизирует процесс обнаружения нулевого пациента, позволяя определить, как началось заражение, кто находится в группе максимального риска, и как давно продолжается активное заражение.
- Отслеживание вредоносных действий до исходной точки вторжения
- Просмотр хронологии события для индикатора
- Определение масштаба атаки на всех хостах и оконечных устройствах
- Передача этих совпадений в системы SIEM, SOAR или систему тикетов для принятия мер
Поиск угроз на основе гипотез
Специалистам по поиску угроз необходимо найти тех злоумышленников, которые уже находятся в системе, но им часто не хватает инструментов для поиска и возможностей доступа, необходимых для обнаружения вредоносных действий.
Match позволяет этим специалистам перейти от исходного индикатора угрозы к изучению его отношения и связей с другими источниками, кампаниями, тактиками, техниками и процедурами (TTP), бюллетенями по угрозам и уязвимостями.
- Начните с известного злоумышленника и найдите ранее неизвестных злоумышленников, которые с ним связаны
- Подтвердите правильность своих подозрений или ответьте на запрос, например, о количестве индикаторов файлов, связанных с уязвимостью
- Визуально сужайте, расширяйте и изучайте отношения и связи любого индикатора
- Обогатите индикаторы с помощью служб WhoIs, VirusTotal, PassiveDNS и Symantec Intelligence

Запланируйте демонстрацию продукта в режиме реального времени и узнайте, как Anomali использует все актуальные аналитические данные для ускорения обнаружения угроз, расследования и реагирования.