Kaspersky CyberTrace как платформа Threat Intelligence

[KL FC Bot]

Мало какая профессия в сфере ИБ может сравниться по уровню каждодневной нагрузки с аналитиком в центре мониторинга информационной безопасности (Security Operations Center, SOC). Мы знаем это не понаслышке, поэтому уделяем особое внимание разработке инструментов, которые могут автоматизировать или облегчить его работу. Недавно мы обновили решение Kaspersky CyberTrace до состояния полноценной платформы Threat Intelligence (TI). В этом посте мы бы хотели наглядно показать, как аналитик SOC может применять этот инструмент для изучения цепочки атаки (Attack Kill Chain).

Давайте представим, что с одной из рабочих станций в сети компании пользователь зашел на сайт. В потоках информации о киберугрозах URL этого сайта значится как вредоносный, поэтому инцидент выявляется защитными решениями, регистрируется системой управления событиями и информацией о безопасности (SIEM) и попадает в сферу внимания аналитика SOC, вооруженного Kaspersky CyberTrace.

Выявление цепочки атаки

В списке обнаруженных аномалий аналитик видит детект по данным из потока Malicious URL и решает присмотреться к нему поближе. Прямо из списка детектов доступна имеющаяся в потоке контекстная информация (IP-адрес, хеши связанных с этим адресом вредоносных файлов, вердикты защитных решений, данные сервиса whois и так далее). Но удобнее всего анализировать цепочку атаки при помощи графа (кнопка View on graph).

Kaspersky CyberTrace: начало анализа атаки.

 

View the full article