Оцените сервис Solar TI Feeds

Качество фидов и интеграции

Оценка контента и тестирование интеграций до трех СЗИ

Доступ к Solar TI Portal

Глубокий контекст индикаторов компрометации

Поддержка от Solar 4RAYS

Разборы срабатываний и сопровождение во время пилота

ЭТАПЫ ПИЛОТНОГО ПРОЕКТА

Как подключить фиды от 2 дней*

Для старта пилота Solar TI Feeds необходимо определить объем работ и сроки проекта с командой эксплуатации.

* Предложение о пилоте готовится за 2–3 дня при наличии готового коннектора.

01

Бюджетная оценка проекта и соглашение по пилотному подключению

02

Определение рамок пилотного проекта:

  • Сроки: от 30 до 60 дней

  • Перечень выгружаемых категорий фидов

  • Количество подключаемых СЗИ: до трех

Длительность проекта зависит от сценариев использования и особенностей подключаемых СЗИ

03

Анализ и верификация срабатываний:

  • Регулярная обратная связь

  • Техническое сопровождение пилота

Три промежуточные встречи для обсуждения результатов

04

Предоставление результатов испытания (при условии передачи телеметрии заказчиком) на итоговой встрече

ОБРАТНАЯ СВЯЗЬ

Отзывы о проведенных пилотах Solar TI Feeds

  • Подключение: легко интегрироваться в TIP
  • Источник: собственный аналитический центр
  • Контент: понравились «трендовые» правила

Дополнительно:

Критических недостатков не обнаружено, дали обратную связь для доработки по важному функционалу

  • Подключение: высокая скорость доработок, скрипт интеграции с MISP
  • Источник: достаточный контекст IoC для оценки срабатываний и отсечения фолзов
  • Контент: IoC распределены по группам в соответствии с ландшафтом угроз компании

Дополнительно:

Не хватало интеграции, из плюсов — высокая скорость доработки и исправления багов

  • Подключение: просто и удобно развернули TIC-агент
  • Контент: понравились правила обнаружения

Дополнительно:

Вначале не хватало интеграции, но уже сделали хорошую связку с двумя SIEM. Можно добавить интеграцию в конфигурацию для обновлений

  • Подключение: IoC корректно доставляются из TIC‑агента в таблицу
  • Контент: интересные YARA-правила, связанные с APT
  • Подключение: работа с API простая, структура и набор полей в json понятные, есть весь контекст
  • Контент: индикаторы уникальные, минимальное пересечение с другими вендорами, категории помогают в сценариях автоматизации и настройке обогащений

Дополнительно:

Интересные трендовые и актуальные IDS‑сигнатуры, сигма‑правила для обогащения и выявления атак

Ответы на частые вопросы
по проведению пилота TI Feeds

Как понять, что пилот TI Feeds прошел успешно?

Перед стартом пилота Solar TI Feeds заказчик и исполнитель совместно определяют, как будут оценивать его успешность.

Какие критерии качества пилота можно применить:

  • Уникальность индикаторов компрометации — минимальное пересечение со всеми ранее оцениваемыми поставщиками фидов Threat Intelligence.
  • Пересечение индикаторов с существующими событиями в системе — релевантность контента поставщика актуальному ландшафту угроз.
  • Процент false-positive-срабатываний по индикаторам поставщика — чем меньше, тем лучше.
На что помимо контента стоит обратить внимание на старте пилота Threat Intelligence Feeds?

В отзывах по пилотам Solar TI Feeds мы видим, что пользователям также важен сервис. Что можно выделить отдельно:

  • Регулярное обновление контента
  • Техподдержка на разных этапах от интеграции до сопровождения
  • Обратная связь по сработкам
  • Качество выполненной интеграции с СЗИ
  • Удобство использования: поддержка различных форматов выгрузки
  • Доработка багов, фич и выполнение вендором обязательств

Чек-лист: топ вопросов поставщику TI Feeds

Даете ли вы доступ к TI Portal на время пилота?

Участникам пилота Solar TI Feeds предоставляется временный доступ к порталу с глубоким контекстом по каждому индикатору компрометации:

  • Категория и критичность индикатора
  • Даты обнаружения и актуализации индикатора
  • Эвристики и дополнительные атрибуты
  • Связанные объекты: акторы и их псевдонимы, вредоносное ПО, инструменты, техники и тактики, сетевые и файловые индикаторы, упоминания в отчетах
Какие категории фидов можно получить на пилоте Solar TI Feeds?

Для ознакомления с сервисом поставки данных о киберугрозах Solar TI Feeds мы отдаем все необходимые вам индикаторы компрометации (IoC), а также можем предоставить трендовые правила обнаружения.

Поток фидов с боевыми индикаторами атак (IoA) Solar TI Feeds передается заказчику на коммерческой основе. Ознакомительно правила могут предоставляться в ограниченном режиме по запросу, а также с некоторыми правилами можно ознакомиться в блоге Solar 4RAYS.

Больше о подключении к Solar TI Feeds

Запросите пилот сервиса Solar TI Feeds

Протестируйте сервис и получите доступ на Solar TI Portal. Чтобы получить ответ быстрее, укажите ИНН компании

Начните вводить название компании или ИНН и система сама подскажет варианты