Anomali Match | Расширение индикаторов и обогащение данных
Anomali Match

Автоматическое обнаружение с использованием всех данных анализа угроз

Непрерывное автоматическое обнаружение киберугроз в сети с использованием всех аналитических данных и всех данных телеметрии.

Ускоренное обнаружение угроз

Anomali Match использует все доступные аналитические данные и телеметрию для комплексного обнаружения угроз со скоростью машины. Среднее время обнаружения сокращается, убытки от инцидентов безопасности снижаются, а операции по обеспечению безопасности становятся более эффективными.

Схема продукта Anomali Match

Обнаружение всех угроз в вашей среде

Обнаружение угроз с использованием всех доступных данных

Решение Match использует все ваши активные функции анализа угроз и сопоставляет их со всеми журналами событий для непрерывного обнаружения вредоносных действий в сети.

Обнаружение новых выявленных угроз в вашей сети

Решение Match непрерывно анализирует архивные данные журналов с учетом новых данных об угрозах, чтобы выявить признаки прошлых нарушений безопасности.

Приоритизация реагирования на угрозы с учетом ценности ресурсов и рисков

Match присваивает угрозам рейтинг на основе ценности ресурсов, уязвимостей и серьезности угрозы, что позволяет определить приоритетность рисков и обеспечить реагирование.

Автоматизация обнаружения угроз с помощью всех доступных телеметрических и аналитических функций

Решения SIEM и управления журналами ограничены объемами IOC и журналов событий, которые они могут хранить и сканировать, что затрудняет выявление всех потенциальных угроз, с которыми может столкнуться организация.

Решение Match разработано специально для обнаружения известных угроз в масштабе всей организации с помощью аналитики big data и машинного обучения, что позволяет постоянно сопоставлять огромные объемы журналов событий со всеми аналитическими данными об активных угрозах.

  • Постоянная корреляция десятков миллионов IOC с миллиардами событий
  • Определение совпадений индикатора угрозы, тактик, техник и процедур (TTP), злоумышленника, уязвимости или данных из бюллетеня по угрозам в журналах событий
  • Автоматическое оповещение систем SIEM, SOAR или отслеживания ошибок
Проблема перегрузки данными безопасности

Ответ на непростой вопрос: «На нас это повлияло?»

Если в мире обнаружена новая угроза, изучение архива логов, чтобы узнать, не подвергались ли вы риску, может оказаться длительным и дорогостоящим процессом.

Решение Match в течение нескольких секунд сообщает об обнаружении индикатора угрозы в ваших исторических данных о событиях за прошедшие месяцы или годы.

  • Поиск по журналам событий за последние пять лет или более
  • Поиск индикаторов угроз, тактик, техник и процедур (TTP), злоумышленников, уязвимостей или бюллетеней по угрозам
  • Отображение всех совпадений по угрозам за считаные секунды
  • Передача этих совпадений в системы SIEM, SOAR или систему отслеживания ошибок
Проблема 200 дней

Определение приоритета реагирования с учетом ценности ресурса, уязвимости и серьезности угрозы

Выявив вредоносное поведение в сети, можно решить, с какими угрозами наиболее важно работать в первую очередь.

Anomali Match включает данные сканирования ресурсов и уязвимостей в результаты обнаружения угроз, позволяя аналитикам определять приоритеты восстановления на основе рисков.

  • Быстрое определение основных ресурсов, где наблюдается вредоносная активность
  • Определение приоритета реагирования с учетом степени риска и важности ресурса
  • Отслеживание вредоносных действий до исходной точки вторжения и просмотр хронологии компрометации
Определение приоритетов восстановления с помощью Anomali Match

Определение ботов в сети, подключающихся к серверам C&C.

Многие бот-сети маскируют обмен данными с серверами управления и контроля (C&C) с помощью алгоритмов генерации доменов (DGA) для обхода списков блокирования IP-адресов.

Match использует усовершенствованную модель машинного обучения для прогнозирования вредоносных доменов и их обнаружения в журналах событий.

  • Выявление событий, в которых обнаружены домены DGA
  • Определение семейства вредоносных программ, которое, скорее всего, создало домены DGA
  • Определение ресурсов, которые обмениваются данными с помощью домена DGA
Ботнет

Обнаружение угроз по таким критериям, как источник, бюллетень по угрозам или уязвимость

Хитроумные злоумышленники научились динамически изменять IOC, чтобы избежать обнаружения, но изменить тактику, методы и процедуры (TTP) не так-то просто.

Решение Match позволяет специалистам по безопасности выявлять угрозы в вашей среде на основе TTP, источников, кампаний, бюллетеней по угрозам и уязвимостей. После определения источника угрозы в сети можно проанализировать TTP с помощью структуры MITRE ATT&CK и карт активности.

  • Поиск вторжений в среду по источнику угроз, TTP, бюллетеням об угрозах, кампаниям или уязвимостям
  • Просмотр сведений о совпадении событий, включая время задержки, серьезность и источник/место назначения события
  • Анализ тактики, методов и процедур (TTP) для выбранного источника на карте активности матрицы MITRE ATT&CK
Anomali Match и MITRE ATT&CK

Определение «нулевого пациента»

После заражения вредоносным ПО многие организации начинают игру в кошки-мышки: они знают, что произошло заражение, принимают меры по его устранению, но оно появляется снова и снова.

Решение Match автоматизирует процесс обнаружения нулевого пациента, позволяя определить, как началось заражение, кто находится в группе максимального риска, и как давно продолжается активное заражение.

  • Отслеживание вредоносных действий до исходной точки вторжения
  • Просмотр хронологии события для индикатора
  • Определение масштаба атаки на всех хостах и оконечных устройствах
  • Передача этих совпадений в системы SIEM, SOAR или систему тикетов для принятия мер

Поиск угроз на основе гипотез

Специалистам по поиску угроз необходимо найти тех злоумышленников, которые уже находятся в системе, но им часто не хватает инструментов для поиска и возможностей доступа, необходимых для обнаружения вредоносных действий.

Match позволяет этим специалистам перейти от исходного индикатора угрозы к изучению его отношения и связей с другими источниками, кампаниями, тактиками, техниками и процедурами (TTP), бюллетенями по угрозам и уязвимостями.

  • Начните с известного злоумышленника и найдите ранее неизвестных злоумышленников, которые с ним связаны
  • Подтвердите правильность своих подозрений или ответьте на запрос, например, о количестве индикаторов файлов, связанных с уязвимостью
  • Визуально сужайте, расширяйте и изучайте отношения и связи любого индикатора
  • Обогатите индикаторы с помощью служб WhoIs, VirusTotal, PassiveDNS и Symantec Intelligence
Выявление угроз с помощью Anomali Match

Оцените неограниченную видимость угроз и возможности их мгновенного обнаружения с помощью Anomali

Запланируйте демонстрацию продукта в режиме реального времени и узнайте, как Anomali использует все актуальные аналитические данные для ускорения обнаружения угроз, расследования и реагирования.