Kaspersky CyberTrace

Количество оповещений от различных систем информационной безопасности, ежедневно обрабатываемых аналитиками в центрах мониторинга и реагирования на инциденты ИБ, растет в геометрической прогрессии. Благодаря интеграции актуальных машиночитаемых аналитических данных о киберугрозах в эти системы, например, в SIEM, центры мониторинга могут автоматизировать процессы первоначальной приоритизации и расследования. Threat Intelligence платформа Kaspersky CyberTrace позволяет организациям существенно повысить эффективность использования таких данных.

CyberTrace агрегирует, дедуплицирует, нормализует и хранит поступающие данные и события обнаружения, позволяет сканировать исторические данные с использованием новой информации о киберугрозах, дает возможность аналитикам обмениваться информацией, предоставляет детальную статистику по используемым источникам и многое другое.

Логи, поступающие от различных систем безопасности, автоматически анализируются и сопоставляются с потоками данных о киберугрозах. При обнаружении угрозы продукт генерирует собственные оповещения cо всем доступным контекстом, обеспечивая «ситуационную осведомленность» и позволяя аналитикам принимать более взвешенные решения.

Продукт позволяет работать с любым потоком аналитических данных о киберугрозах в форматах JSON, STIX, XML и CSV: open-source, от «Лаборатории Касперского», от других поставщиков, а также собственными кастомизированными потоками. CyberTrace также поддерживает интеграцию «из коробки» с различными SIEM-системами и источниками логов.

Такая архитектура обеспечивает поддержку сценариев использования поставщиков сервисов кибербезопасности или крупных компаний, позволяя подключить один экземпляр CyberTrace ко многим SIEM-системам, установленным в дочерних или обслуживаемых организациях, и настроить потоки данных, которые должны быть использованы для каждой их них.

https://www.kaspersky.ru/enterprise-security/cybertrace-threat-intelligence