Новая версия R-Vision TIP
Компания R-Vision представила обновленную версию платформы анализа информации об угрозах R-Vision TIP (Threat Intelligence Platform). В версии 2.20 расширен список доступных интеграций с поставщиками данных киберразведки и сервисами обогащения индикаторов компрометации. Изменения также затронули процесс передачи инцидентов в систему R-Vision SOAR.
Одно из ключевых обновлений платформы – расширение объема получаемых сведений киберразведки. Добавлена возможность интеграции системы с отечественными поставщиками данных Threat Intelligence: PT Threat Intelligence Feeds и BI.ZONE ThreatVision. Таким образом, новые источники, подключенные к R-Vision TIP, будут обеспечивать аналитикам большим контекст по IoC, благодаря чему дальнейшее использование данных станет более точным.
Другие важные изменения связаны с обогащением индикаторов компрометации дополнительным контекстом. В частности, в новой версии R-Vision реализовала встроенную интеграцию с сервисом обогащения Kaspersky Threat Lookup. При этом появилась возможность более тонкой настройки: теперь пользователи смогут задавать время жизни данных обогащения не только в днях, но и в часах и минутах. Это позволит точнее обновлять информацию об индикаторах компрометации и анализировать данные киберразведки. Преобразован и внешний вид блока данных обогащения в карточках индикаторов, что помогает привести данные из разных сервисов обогащения к единому виду. Кроме того, обновлена интеграция с OPSWAT Metadefender для поддержки изменений сервиса.
Среди других нововведений – улучшенная логика пользовательского интерфейса системы. Правила оповещения и интеграции объединены в один раздел, что упрощает процесс передачи инцидентов в платформу автоматизации ИБ и реагирования на инциденты R-Vision SOAR, позволяя выполнять оба действия одновременно. Помимо этого, перед отправкой в R-Vision SOAR стало можно выбрать тип группировки событий: по правилу или по значению индикатора. Еще одно изменение позволяет аналитикам TI получать информацию обо всех активностях, происходивших в ходе конкретного инцидента: теперь в карточке индикатора будут отражаться типы активности, связанные с ID инцидента, полученного из R-Vision SOAR.
В ближайших следующих версиях в R-Vision планируется расширять интеграционные возможности платформы, а также реализовать возможность кастомизации модели расчета рейтинга индикаторов компрометации.