Для малого бизнеса
+7 (499) 673-37-62

Как работает сервис Solar TI Feeds

Непрерывное усиление SOC с помощью уникальных фидов для раннего обнаружения и реагирования на угрозы

Реализация сервиса

  • ПЕРЕДАЧА ДАННЫХ (ФИДОВ)

    ПЕРЕДАЧА ДАННЫХ (ФИДОВ)

    • Обновление через API актуальными сведениями
    • В состав фида входят индикаторы компрометации (адреса, хеши) и правила обнаружения атак

  • КАСТОМИЗАЦИЯ ФИДОВ

    КАСТОМИЗАЦИЯ ФИДОВ

    • Предоставление более 20 готовых фидов
    • Индивидуальная настройка срезов данных

  • ЭКСТРЕННОЕ РЕАГИРОВАНИЕ

    ЭКСТРЕННОЕ РЕАГИРОВАНИЕ

    Помощь в отражении атак любой сложности

    Команда Solar 4RAYS готова прийти на помощь при обнаружении в вашей инфраструктуре индикаторов компрометации, свидетельствующих о потенциальном взломе, и оперативно принять меры с целью локализации и предотвращения развития инцидента

  • ИНТЕГРАЦИЯ С СЗИ

    ИНТЕГРАЦИЯ С СЗИ

    • Подключение к вашей SIEM-, SOAR-системе
    • Подключение к NGFW, EDR, XDR и другим СЗИ
    • Подключение к TI-платформам

Варианты подключения

ПРИМЕРЫ ВИЗУАЛИЗАЦИИ РЕЗУЛЬТАТОВ

Как это работает на практике

Связь с сервисами
Работа с инцидентами
Статус сервиса

Обнаружение. Примеры срабатываний IDS-сигнатур в NGFW

Контекст. Полная картина контекста угроз для повышения скорости реагирования и расследования

Гибкость подключения и фильтрации. Пример интерфейса конфигурации получения фидов

Часто задаваемые вопросы

Что такое фиды Threat Intelligence?

Threat Intelligence Feeds — это наборы данных (фиды) об актуальных угрозах, состоящие из индикаторов компрометации (адреса, хеши) и правил обнаружения атак, полученных в процессе проведения киберразведки (Threat Hunting), аналитики (Threat Intelligence), расследований (Digital Forensics) и т. д.

Solar TI Feeds передаются через API в виде строк JSON. Их можно загружать в имеющиеся системы мониторинга, использовать для фильтрации и блокировки подозрительного трафика, поиска следов компрометации и реагирования на инциденты ИБ.

Как понять, нужен ли сервис TI Feeds моей организации?

Признаки того, что вам нужен сервис TI Feeds:

  • У вашей компании есть собственный SOC, или она его строит
  • Необходимо улучшить качество детектирования угроз и повысить эффективность процессов
  • Используемые источники TI Feeds генерируют много нерелевантной информации
  • SOC или отдел ИБ перегружен количеством обрабатываемых инцидентов, команда тратит слишком много времени на ручной анализ угроз и обогащение событий
  • Вы входите в число наиболее атакуемых отраслей: финансовый сектор, госсектор, ИТ, телеком, промышленность, нефтегазовый сектор

Если хотя бы два пункта из перечисленных про вас, то вам нужен сервис.

Зачем мне подключать еще один сервис, если мы уже пользуемся другими платными и бесплатными сервисами Threat Intelligence?

Solar TI Feeds состоит из собственных уникальных данных. Мы не агрегируем данные из открытых или бесплатных источников, не перепродаем информацию других вендоров TI. Наши сведения Threat Intelligence и Threat Hunting недоступны другим вендорам.

Состав фидов Solar TI Feeds:

  • Данные от сенсоров в сети телеком-оператора «Ростелеком»
  • Телеметрия сервисов центра противодействия киберугрозам Solar JSOC
  • Результаты ежедневного анализа событий на сенсорах с автоматической проверкой и ручной верификацией
  • Результаты собственных расследований различной сложности Solar 4RAYS
  • Результаты киберразведки по отслеживанию действий активных группировок
Какой процент представленных в фидах данных — это реальные угрозы, а не просто «шум» и нерелевантные для моей организации сведения?

Данные в Solar TI Feeds — результат работы команды аналитиков и форензеров по оценке, фильтрации и верификации информации из доступных нам источников. Прошедшие проверку и подтвержденные данные группируются в определенные срезы и правила и сразу поступают в мониторинг во все ключевые системы, сервисы и продукты.

Такие сигнатуры и правила соответствуют потребностям российских государственных и частных компаний и отражают актуальный киберландшафт — вредоносные кампании уже известных или новых группировок.

Мы сами используем эти фиды в продуктах и сервисах ГК «Солар», и в первую очередь для нас самих важна релевантность данных для обеспечения качественного сервиса и услуг, улучшения продуктов и оперативного реагирования и расследования инцидентов.

Есть ли у вас собственные исследователи ВПО, форензеры или вы просто собираете и комбинируете данные из открытых источников?

В нашем центре исследования киберугроз Solar 4RAYS целая команда экспертов по информационной безопасности:

  • Команда Threat Hunting. Разрабатывает логику обнаружения угроз на хостовом и сетевом уровне, анализирует TI/DFIR-отчеты, формирует и проверяет гипотезы обнаружения техник MITRE ATT&CK, исследует эффективность методов обнаружения
  • Команда Threat Intelligence. Собирает, анализирует и обогащает данные, формирует TI Feeds, отслеживает группировки, их тактики и цели, анализирует инструментарий
  • Команда Digital Forensic. Реагирует и расследует инциденты, выявляет следы компрометации, дает рекомендации по повышению защищенности на основе данных расследований и Compromise Assessment
  • Редакция блога Solar 4RAYS. Публикует статьи и отчеты об актуальных киберугрозах, развивает комьюнити информационной безопасности
В каких средствах защиты информации я могу использовать данные сервиса Solar TI Feeds?

Полученные данные можно использовать в любых системах мониторинга и СЗИ по необходимости:

  • В SIEM-, SOAR-системах
  • NGFW, EDR, XDR и др.
  • TI-платформах
Могу ли я пересобирать и кастомизировать ваши данные так, как мне удобно?

Данные поставляются готовыми фидами с возможностью кастомизации на стороне ГК «Солар».

Также вы самостоятельно можете фильтровать и кастомизировать полученные данные в зависимости от необходимости с помощью агента интеграции.

У меня нет сработок по существующим данным Threat Intelligence, значит, я защищен?

Возможно, ваши СЗИ уже справляются с существующими угрозами. Постарайтесь проанализировать имеющиеся фиды и их интеграции. Причины, по которым может не быть срабатываний:

  • Данные, поступающие в ваши системы мониторинга, не соответствуют актуальным киберугрозам вашего региона
  • Данные некорректно интегрированы с системами мониторинга — необходимо провести тестирование и наладить интеграцию
  • Вендор предоставляет ограниченный срез данных, который не учитывает все сценарии защиты заказчика
У нас много времени занимает разбор фолзов, с фидами их станет еще больше, это нагружает команду

Данные Solar TI Feeds состоят из очищенных и вручную валидированных индикаторов компрометации и настроенных правил, которые актуальны для российского бизнеса.

Срабатывания по фидам показали свою эффективность и минимальный уровень ложных срабатываний (фолзов) на системах мониторинга Solar JSOC, в продуктах и сервисах «Солара» по сравнению с другими данными TI (в том числе, Open Source).

КАК ПОДКЛЮЧИТЬ

Запросите пилот сервиса Solar TI Feeds

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.