实现有效的威胁情报管理
信息安全分析师每天处理的安全警报数量呈指数级增长。通过将最新的机器可读威胁情报集成到现有安全控制系统(如 SIEM 系统)中,安全团队可以自动执行初始警报分类和调查过程。卡巴斯基网络威胁追踪服务可以帮助他们在现有的安全运营工作流程中更有效地利用这些情报。
功能丰富的分析工具集
网络威胁追踪服务可对传入的数据和检测事件执行聚合、重复数据消除、规范化和存储。它使您可以使用最新的数据订阅源来分析先前检查过的事件中的可观察信息,以发现先前未发现的威胁(称为回溯扫描)。安全分析师能够导出和共享威胁数据,并衡量集成数据订阅源的有效性和相关性,还可以使用其他更多功能。
快速匹配数据
网络威胁追踪服务使用其内化的流程来解析和匹配传入的数据。它会解析传入的日志和事件,迅速将所获得的数据与数据订阅源进行匹配,并在执行威胁检测时生成自己的情境化的警报。它会向安全分析师提供完整的态势感知能力,帮助他们做出高度明智的决策。
增强的集成
网络威胁追踪服务可实现威胁数据订阅源的无缝集成。它可以与 JSON、STIX、XML 和 CSV 格式的各类威胁情报数据订阅源集成(包括来自卡巴斯基、其他供应商、OSINT 提供的威胁情报数据订阅源,或您的自定义数据订阅源)。它还支持与众多 SIEM 解决方案和日志数据订阅源的开箱即用集成。
多租户支持
在服务提供商(中央办公室)需要分别处理来自不同分支机构(租户)的事件时,多租户功能可以支持 MSSP 或大型企业使用系统实例。这样一来,单个卡巴斯基网络威胁追踪服务实例就可以与来自不同租户的不同 SIEM 解决方案相连接,并且您可以配置每个租户要使用哪些数据订阅源。
实际应用
有效管理威胁情报数据订阅源
- 通过采用内化的机制匹配和分析传入数据,有效发现即便是经过混淆处理的威胁指标
- 支持与 SIEM 系统进行开箱即用的集成,还能直接集成其他 IT 安全控制和日志来源
- 集成无限数量的威胁情报数据订阅,不会对 SIEM 的性能产生负面影响
- 数据订阅源使用情况统计信息会衡量集成数据订阅源和数据订阅源交叉矩阵的有效性,有助于选择最有价值的威胁情报提供者
优化威胁情报工作流
- 具有全文搜索功能的指标和检测事件数据库,支持使用高级搜索查询进行搜索
- 在一个页面上提供各个各项指标的综合、详尽,并且已消除重复数据的信息
- 可直观探索数据和检测方法,并发现威胁间关系的研究图表
- 支持在评论中讨论和分享相关威胁信息
- 将指标导出到其他安全控制工具
- 使用最新的威胁情报订阅数据源进行回溯匹配,以查找先前遗漏的威胁
建立由情报驱动的主动式防御机制
- 尽管卡巴斯基网络威胁追踪服务和卡巴斯基威胁数据订阅源可以分别使用,但结合使用两者可以显著提升您的威胁检测能力,赋予您的安全运营团队监测网络威胁的全局能力。借助卡巴斯基网络威胁追踪服务和卡巴斯基威胁数据订阅源,组织机构可以:
- 有效地提取安全警报并确定其优先级
- 立即辨别关键警报并制定更明智的决策,以决定将哪些警报上报给事故响应团队
- 降低分析师的工作量并防止倦怠
- 尽管卡巴斯基网络威胁追踪服务和卡巴斯基威胁数据订阅源可以分别使用,但结合使用两者可以显著提升您的威胁检测能力,赋予您的安全运营团队监测网络威胁的全局能力。借助卡巴斯基网络威胁追踪服务和卡巴斯基威胁数据订阅源,组织机构可以:
试用社区版本
让我们开始对话吧!如果想与我们的专家讨论卡巴斯基如何支持贵公司的安全策略,请与我们联系!