Czy można zintegrować Kaspersky Threat Data Feeds z rozwiązaniem SIEM?
Wykorzystujemy pliki cookie w celu zapewnienia wygody przeglądania naszych stron internetowych. Korzystanie z tej strony internetowej oznacza ich akceptację. Szczegółowe informacje dotyczące wykorzystania plików cookie na tej stronie internetowej są dostępne tutaj.
Zaakceptuj i zamknij

 

 

Kaspersky Threat Data Feeds

 
 
 
 

Czy można zintegrować Kaspersky Threat Data Feeds z rozwiązaniem SIEM?

2018 cze 28 ID artykułu: 13850
 
 
 
 

Tak, opracowaliśmy specjalne narzędzie, które pozwala zintegrować Kaspersky Threat Data Feeds z dowolnym rozwiązaniem SIEM. Nosi ono nazwę Kaspersky Threat Feed Service. 

Obejrzyj film dostępny poniżej przedstawiający sposób działania tego narzędzia. 

Kaspersky Threat Feed Service koreluje zdarzenia wysyłane do instancji SIEM z produktami Kaspersky Threat Data Feeds w celu wykrycia złośliwej aktywności w sieci firmowej. Zyskujesz świadomość w czasie rzeczywistym potrzebną do podkreślenia zagrożeń i konsekwencji związanych z naruszeniami bezpieczeństwa, a także skutecznego złagodzenia cyberzagrożeń i bronienia się przed trwającymi atakami. Kaspersky Threat Feed Service, zintegrowany z usługą SIEM, informuje na bieżąco o sytuacjach zagrożenia w następujące sposoby:

  • Pozwala ustawić osłonę w narzędziach SIEM, aby wyświetlać i ustalać priorytety dla informacji o adresach URL, adresach IP i sumach kontrolnych plików zawartych w zdarzeniach zgodnych z Kaspersky Threat Data Feeds.
  • Dostarcza pulpit nawigacyjny dla szybkich przeglądów, a także bardziej szczegółowe informacje na temat zgodnych zdarzeń.
  • Wdraża analizę zagrożeń dla zespołów ds. bezpieczeństwa/SOC i pomaga w dochodzeniach prowadzonych przez analityków zagrożeń.
  • Poprawia i przyspiesza reakcję na zdarzenia i możliwości kryminalistyczne. 
  • Identyfikuje istotne zdarzenia w celu dalszego badania i nie dopuszcza zakłóceń do narzędzia SIEM.
  • Automatycznie aktualizuje Kaspersky Threat Data Feeds z Kaspersky Lab, aby zapewnić jego aktualność.
  • Eliminuje fałszywe alarmy i tworzy proaktywną obronę, opartą na analizie.
  • Obsługuje wszystkie istniejące kontrole zabezpieczeń jako źródła zdarzeń: Zapory sieciowe, protokoły IPS/IDS, zabezpieczenia proxy, rozwiązania antywirusowe, rozwiązania DNS, UTM i inne.

Każdy zapis w Kaspersky Threat Data Feeds zostaje wzbogacony o dający podstawę do działania kontekst (nazwy zagrożeń, sygnatury czasowe, geolokacja, rozwiązane adresy IP, sumy kontrolne, popularność i inne). Dane kontekstowe ujawniają szerszy obraz i umożliwiają szerokie wykorzystanie tych informacji. Dane te, umieszczone w szerszym kontekście, mogą być efektywnie wykorzystywane w celu znalezienia odpowiedzi kto, co, gdzie i kiedy w przypadku ataków cybernetycznych — pomagając w podjęciu trafnych decyzji i zastosowaniu ukierunkowanych, proaktywnych środków.

 

Wskaźniki naruszeń (IOC) pochodzące z Kaspersky Threat Data Feeds nie są wczytywane do instancji SIEM, ale zamiast tego są przetwarzane przez Kaspersky Threat Feed Service w odrębnym procesie offline, działającym w Twojej infrastrukturze. Ponieważ zadanie dopasowywania zdarzeń z dużą liczbą IOC jest wykonywane osobno, Twoja instancja SIEM jest narażona na minimalną liczbę trafień. W przypadku trafienia, szczegółowe informacje kontekstowe dotyczące zdarzenia zostaną przekazane do Twojej instancji SIEM i wyświetlone w pulpicie nawigacyjnym SIEM.

Wysoki poziom architektury naszego obecnego rozwiązania (wtyczki SIEM) działa w następujący sposób:

  • Nadchodzące zdarzenia są wysyłane z różnych punktów zabezpieczeń i gromadzone przez SIEM.
  • SIEM przesyła dalej otrzymane zdarzenia do Kaspersky Threat Feed Service (pojedynczy proces offline) za pośrednictwem gniazda TCP lub Unix.
  • Kaspersky Threat Feed Service otrzymuje zdarzenia, które zawierają adresy URL, sumy kontrolne lub adresy IP, z SIEM.
  • Kaspersky Threat Feed Service automatycznie odbiera nowe dane z infrastruktury Kaspersky.
  • Kaspersky Threat Feed Service dopasowuje widoczne zdarzenia (adresy IP, URL, domeny i sumy kontrolne) w otrzymanych zdarzeniach z Threat Data Feeds.
  • Jeśli wystąpi zgodność z Threat Data Feeds, Kaspersky Threat Feed Service odsyła dopasowane zdarzenie z powrotem do SIEM, wzbogacone o kontekst pochodzący z Threat Data Feeds i informuje administratora SIEM o naruszeniu zabezpieczeń.

ktdf_13850_02 

Kaspersky Threat Feed Service daje przewagę w cyberprzestrzeni, wzmacniając instancję SIEM ciągle uaktualnianymi wskaźnikami naruszeń i dającym podstawy do działania kontekstem, a także zapewnia świetne rozeznanie na temat cyberataków, dzięki czemu można w pełni zrozumieć intencje, możliwości i cele napastników.

Domyślnie używany jest Kaspersky Demo Data Feeds. Kaspersky Demo Data Feeds oferuje niższy poziom wykrywania niż wersje komercyjne. Aby uzyskać dostęp do wersji komercyjnych Kaspersky Threat Intelligence Data Feeds, należy skontaktować się z Kaspersky Security Intelligence Services.

Uwaga: Kaspersky Threat Data Feeds może być także obsługiwany przez rozwiązania SIEM przy użyciu wbudowanych funkcji, bez Kaspersky Threat Feed Service, kiedy wszystkie dopasowane rozwiązania (Data Feeds i zdarzenia przychodzące) są wykonywane wewnątrz SIEM. Jednak w tym przypadku prawdopodobnie nastąpi spadek wydajności.

 
 
 
 

 
 
 
 
Czy te informacje były pomocne?
Tak Nie
Dziękujemy
 
 
 

 
 

 
 

Opinia dotycząca strony pomocy

Prosimy o przesłanie opinii o wyglądzie naszej strony, propozycje jej ulepszeń lub wskazanie ewentualnych błędów

Wyślij Moją Opinię o stronie Wyślij Moją Opinię o stronie

Dziękujemy!

Serdecznie dziękujemy za przesłanie nam swojej opinii.
Zapoznamy się z jej treścią i rozpatrzymy wszelkie uwagi.

 

Jak możemy ulepszyć ten artykuł?

Nie będziemy mogli skontaktować się z Tobą, jeśli nie zostawisz nam swojego adresu e-mail lub numeru telefonu. Aby skontaktować się z pomocą techniczną, zaloguj się do swojego konta.

Wyślij Wyślij

Dziękujemy za Twoją opinię!

Twoje sugestie pomogą nam ulepszyć ten artykuł.

OK