Содержание
Kaspersky Threat Intelligence Portal
Kaspersky Threat Intelligence Portal объединяет все знания "Лаборатории Касперского" о киберугрозах, безопасных объектах и связях между ними в одно мощное решение. Цель данного веб-портала – обеспечить сотрудников служб информационной безопасности (ИБ) как можно большим количеством данных об угрозах для их приоритизации, обнаружения, сдерживания и удаления, тем самым минимизируя влияние кибератак на работу компаний. Портал получает актуальную аналитическую информацию об угрозах, касающуюся веб-адресов, доменов, IP-адресов, хешей файлов, а также статистические и поведенческие данные, данные WHOIS и прочие данные. Все это даст вам наглядное представление о новых и развивающихся угрозах по всему миру, что поможет защитить вашу организацию и повысить эффективность реагирования на инциденты.
Kaspersky Threat Intelligence Portal совместим с компьютерами, планшетами и другими мобильными устройствами.
Информация об угрозах собирается из множества высоконадежных источников. Затем в режиме реального времени все агрегированные данные тщательно проверяются и уточняются с использованием различных методов и технологий предварительной обработки, таких как статистические системы, инструменты выявления схожести объектов, обработка в изолированной среде, профилирование поведения, проверка на основе списков разрешенных объектов и анализ экспертных систем, включая ручной анализ.
Каждый отправленный файл анализируется с применением набора передовых технологий обнаружения угроз, таких как репутационные службы, технологии поведенческого анализа, эвристический анализ, система быстрого обнаружения (Urgent Detection System) и Kaspersky Cloud Sandbox, используемых для мониторинга поведения и действий файла, включая сетевые подключения, а также загруженные и измененные объекты. В основе Kaspersky Sandbox лежит собственная запатентованная технология, позволяющая "Лаборатории Касперского" ежедневно обнаруживать более 350 000 новых вредоносных объектов.
Помимо передовых технологий обнаружения угроз, информация об анализируемых файлах, веб-адресах, IP-адресах и хешах дополняется новейшей аналитической информацией об угрозах, собранной из объединенных разнородных высоконадежных источников, таких как:
- Kaspersky Security Network;
- Инструмент отслеживания ботнетов;
- Собственные поисковые роботы;
- Спам-ловушки;
- Результаты исследований APT-угроз (благодаря команде GReAT);
- Информация от партнеров по обеспечению безопасности;
- Технический анализ (пассивный DNS, WHOIS);
- OSINT.
Kaspersky Threat Intelligence Portal также позволяет запрашивать данные о веб-адресах, IP-адресах и файловых хешах, возвращая отчет о статусе отправленных на анализ объектов.
Принцип работы
Файлы или индикаторы компрометации могут быть отправлены через веб-интерфейс или RESTful API. Kaspersky Threat Intelligence Portal позволяет отправлять и получать аналитические данные об угрозах для следующих объектов:
- Файлы;
- Хеши MD5, SHA1 и SHA256;
- IP-адреса (IPv4);
- Домены;
- Веб-адреса.
Kaspersky Threat Intelligence Portal классифицирует объект как Безопасный, Опасный или Категория не определена, предоставляя контекстные данные, которые помогают более эффективно реагировать на угрозы и исследовать объекты.
Пользователям с премиум-доступом предоставляются дополнительные возможности, включая доступ к детализированным отчетам Kaspersky Threat Lookup (поиск угроз) и Kaspersky Cloud Sandbox, аналитическим отчетам об APT-угрозах, ПО для финансовых преступлений и угрозах промышленной кибербезопасности (APT Intelligence, Crimeware, Industrial Threat Intelligence), а также отчетам о цифровой активности организации (Digital Footprint).
В началоПремиум-доступ к Kaspersky Threat Intelligence Portal
Отслеживание, анализ, интерпретация и устранение постоянно развивающихся угроз информационной безопасности – это серьезная задача. Компании в каждом секторе сталкиваются с нехваткой актуальных данных, необходимых для управления рисками, связанными с угрозами информационной безопасности. Чтобы обеспечить этим компаниям доступ к актуальной информации об угрозах и помочь в решении проблем, связанных со сложными киберпреступлениями, "Лаборатория Касперского" предлагает воспользоваться премиум-доступом к Kaspersky Threat Intelligence Portal. Этот веб-портал помогает исследователям и аналитикам Центра мониторинга и реагирования (SOC) работать более эффективно, одновременно управляя тысячами оповещений о безопасности.
Премиум-доступ к Kaspersky Threat Intelligence Portal предлагает следующие решения.
Аналитические отчеты об APT-угрозах
Пользователи, подписанные на Аналитические отчеты об APT-угрозах (APT Intelligence Reporting) "Лаборатории Касперского", получают уникальный постоянный доступ к результатам исследований и открытий, включающим профили группировок, их тактику, методы и процедуры (TTP), сопоставленные с базой знаний MITRE ATT&CK, полные технические данные, представленные в различных форматах, по каждой раскрытой угрозе, включая даже те угрозы, информация о которых никогда не была опубликована. Информация в этих отчетах помогает быстро реагировать на различные угрозы и уязвимости: блокировать атаки известными способами, уменьшать ущерб от комплексных атак и оптимизировать общую стратегию безопасности.
Аналитические отчеты о ПО для финансовых преступлений
Эти отчеты позволяют финансовым учреждениям использовать в своих защитных стратегиях актуальную информацию об атаках, нацеленных на банки, расчетные платежные компании, страховые компании. Отчеты содержат подробные данные об атаках на определенное оборудование, например на банкоматы и кассовые терминалы, а также информацию об инструментах, предназначенных для атаки на финансовые сети, которые используются, разрабатываются и продаются киберпреступниками в нелегальных сегментах интернета.
Аналитические отчеты об угрозах для конкретной организации (Digital Footprint Intelligence)
Цифровое решение для контроля рисков, предоставляющее отчеты о внешних угрозах, направленных на ресурсы организации за пределами межсетевого экрана. Атаки могут быть направлены на компрометацию учетных данных, утечку информации, уязвимые сервисы в сети и внутренние угрозы. Благодаря выявлению признаков прошлых, настоящих и запланированных атак и обнаружению слабых уязвимых мест, решение помогает компаниям сфокусироваться на защите основных целей кибератак.
Потоки данных о киберугрозах (Data Feeds)
Интеграция актуальных потоков данных о киберугрозах, содержащих информацию о недоверенных и опасных IP-адресах, веб-адресах и хешах файлов, в существующие средства управления безопасностью, такие как SIEM-системы, позволяет группам управления безопасностью автоматизировать начальный процесс обработки оповещений. Специалисты по обработке оповещений получают достаточно данных для немедленного выявления сигналов тревоги, подлежащих расследованию или передаче группам реагирования на инциденты для дальнейшего рассмотрения и реагирования.
CyberTrace
Kaspersky CyberTrace – это инструмент объединения и анализа информации об угрозах, обеспечивающий беспрепятственную интеграцию любых используемых потоков данных об угрозах (в формате JSON, STIX, XML и CSV) с SIEM-решениями и другими источниками данных. Это позволяет аналитикам более эффективно использовать информацию об угрозах в существующих рабочих процессах по обеспечению безопасности. Инструмент использует встроенный процесс парсинга и сопоставления входящих данных, что значительно снижает рабочую нагрузку на SIEM-систему. Используемый в Kaspersky CyberTrace автоматический парсинг входящих журналов и событий и сопоставление его результатов данным анализа угроз обеспечивают "ситуативное понимание" в режиме реального времени, что помогает аналитикам по безопасности принимать быстрые и обоснованные решения.
Threat Lookup (Поиск угроз)
Kaspersky Threat Lookup объединяет все знания "Лаборатории Касперского" о киберугрозах, безопасных объектах и связях между ними в одно мощное веб-решение. Цель этого решения – обеспечить, например, сотрудников службы информационной безопасности (ИБ) как можно большим количеством данных и минимизировать влияние кибератак на работу компании. Kaspersky Threat Lookup получает актуальные подробные данные об угрозах по веб-адресам, доменам, IP-адресам, хешам файлов, именам обнаруженных объектов, статистическим данным, поведенческим характеристикам, данным WHOIS/DNS, атрибутам файлов, данным геолокации, цепочкам загрузки, временным меткам и прочим данным. В результате вы получаете глобальное представление о новых и развивающихся угрозах, что помогает обеспечить защиту организации, повысить эффективность мер реагирования на инциденты и оптимизировать их поиск.
Базовый доступ к Kaspersky Threat Lookup предоставляется всем пользователям.
Cloud Sandbox
Принятие обоснованного решения на основе поведения файла при одновременном анализе памяти процессов, сетевой активности и прочих данных – оптимальный способ разобраться в современных комплексных угрозах как целевых, так и специализированных. Kaspersky Cloud Sandbox, в основе которого лежат собственные запатентованные технологии "Лаборатории Касперского", предоставляет подробные отчеты о поведении возможно зараженных файлов.
Он объединяет всю информацию о поведении вредоносных программ, собранную "Лабораторией Касперского" за 20 лет непрерывных исследований киберугроз, что позволяет ежедневно обнаруживать более 350 000 новых вредоносных объектов. В то время как Kaspersky Threat Lookup извлекает актуальные и исторические сведения об угрозах, Kaspersky Cloud Sandbox позволяет связать эти данные с индикаторами компрометации (IOC), сформированными анализируемой выборкой, раскрывая весь масштаб атаки и помогая спланировать эффективные меры реагирования.
Также возможен анализ веб-адресов в изолированной среде.
Основные сводные отчеты доступны всем пользователям.
Аналитические отчеты об угрозах промышленной кибербезопасности
Служба аналитических отчетов Kaspersky Industrial Threat Intelligence предоставляет детальные аналитические данные и повышает осведомленность о вредоносных кампаниях, нацеленных на промышленные организации, а также информацию об уязвимостях, обнаруженных в наиболее распространенных системах промышленного контроля и сопутствующих технологиях.
Премиум-доступ к Kaspersky Threat Intelligence Portal позволяет компаниям проводить высокоэффективные комплексные расследования инцидентов, оперативно предоставляя данные о природе угроз по мере их обнаружения, выявляя взаимосвязанные индикаторы угроз и связывая инциденты с конкретными группировками, кампаниями, их целями, а также тактикой, методами и процедурами (TTP).
Для получения дополнительной информации, перейдите на https://www.kaspersky.ru/enterprise-security/threat-intelligence и https://www.kaspersky.ru/enterprise-security/apt-intelligence-reporting.
Сравнение доступов к Kaspersky Threat Intelligence Portal
В таблице показаны различия доступных решений при общем доступе и премиум-доступе к Kaspersky Threat Intelligence Portal.
Решения, доступные при общем доступе и премиум-доступе к Kaspersky Threat Intelligence Portal
Решение |
Общий доступ |
Премиум-доступ |
|---|---|---|
Домашняя страница |
||
Всемирная карта киберугроз |
|
|
Топ угроз по всему миру и для отдельных стран |
|
|
Динамика угроз по всему миру и для отдельных стран |
|
|
Список, отображающий последние события |
|
|
Аналитические отчеты об APT-угрозах и ПО для финансовых преступлений |
||
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
|
|
Уведомления о новых или обновленных отчетах по электронной почте |
|
|
Аналитические отчеты об APT-угрозах |
|
|
Служба отслеживания APT C&C |
|
|
Аналитические отчеты о ПО для финансовых преступлений |
|
|
Профили группировок |
|
|
Загрузка файлов OpenIOC |
|
|
Отчеты об угрозах промышленной безопасности |
||
Отчеты об угрозах промышленной безопасности |
|
|
Threat Lookup: анализ хешей |
||
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета о хешах: |
|
|
Общая информация |
|
|
Имена детектируемых объектов |
|
|
Подписи и сертификаты файла |
|
|
Подписи и сертификаты контейнера |
|
|
Пути к файлу |
|
|
Имена файла |
|
|
Веб-адреса и домены, с которых был загружен файл |
|
|
Веб-адреса, к которым обращался файл |
|
|
Объекты, запущенные файлом |
|
|
Объекты, которые запускали файл |
|
|
Объекты, загруженные файлом |
|
|
Объекты, которые загружали файл |
|
|
Threat Lookup: анализ IP-адресов |
||
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета об IP-адресах: |
|
|
Общая информация |
|
|
WHOIS IP-адреса |
|
|
Оценка угрозы |
|
|
DNS-разрешения IP-адреса |
|
|
Файлы, связанные с веб-адресами |
|
|
Размещенные веб-адреса |
|
|
Threat Lookup: анализ веб-адресов |
||
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета о веб-адресах: |
|
|
Общая информация |
|
|
WHOIS домена / IP-адреса |
|
|
DNS-разрешения домена |
|
|
Файлы, загруженные с запрашиваемого веб-адреса |
|
|
Файлы, обращавшиеся к запрашиваемому веб-адресу |
|
|
Реферальные ссылки на запрашиваемый веб-адрес |
|
|
Веб-адреса, на которые ссылается или перенаправляет запрашиваемый объект |
|
|
Маски (идентификатор записи в потоках данных) |
|
|
Threat Lookup: анализ доменов |
||
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета о доменах: |
|
|
Общая информация |
|
|
WHOIS домена |
|
|
DNS-разрешения домена |
|
|
Файлы, загруженные с домена |
|
|
Файлы, обращавшиеся к домену |
|
|
Поддомены |
|
|
Ссылки на домен |
|
|
Веб-адреса, на которые ссылается домен |
|
|
Маски веб-адресов |
|
|
Поиск по базе WHOIS |
|
|
Мониторинг по базе WHOIS |
|
|
Cloud Sandbox: загрузка и исполнение файла |
||
Настраиваемые параметры выполнения файла |
|
|
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета об анализе файлов: |
|
|
Общая информация |
|
|
Имена детектируемых объектов (включая объекты, обнаруженные в Sandbox, и сработавшие сетевые правила) |
|
|
Схема работы |
(с ограничениями) |
|
Подозрительные действия |
(с ограничениями) |
|
Снимки экрана |
(с ограничениями) |
|
Загруженные PE-образы |
(с ограничениями) |
|
Файловые операции |
(с ограничениями) |
|
Действия с реестром |
(с ограничениями) |
|
Операции процессов |
(с ограничениями) |
|
Операции синхронизации |
(с ограничениями) |
|
Загруженные файлы |
(с ограничениями) |
|
Измененные файлы |
(с ограничениями) |
|
HTTP(S)-запросы |
(с ограничениями) |
|
DNS-запросы |
(с ограничениями) |
|
Cloud Sandbox: загрузка и исполнение файла |
||
Загрузка файла с веб-ресурсов |
|
|
Настраиваемые параметры выполнения файла |
|
|
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
|
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета об анализе файлов: |
|
|
Информация о загрузке файла |
|
|
Запрос о загрузке |
|
|
Ответ на запрос о загрузке |
|
|
Общая информация |
|
|
Имена детектируемых объектов (включая объекты, обнаруженные в Sandbox, и сработавшие сетевые правила) |
|
|
Схема работы |
|
|
Подозрительные действия |
|
|
Снимки экрана |
|
|
Загруженные PE-образы |
|
|
Файловые операции |
|
|
Действия с реестром |
|
|
Операции процессов |
|
|
Операции синхронизации |
|
|
Загруженные файлы |
|
|
Измененные файлы |
|
|
HTTP(S)-запросы |
|
|
DNS-запросы |
|
|
Cloud Sandbox: открытие веб-адресов |
||
Настраиваемые параметры открытия веб-адреса |
|
|
Доступ через веб-интерфейс |
|
|
Доступ через RESTful API |
(для зарегистрированных пользователей, необходим токен API) |
|
Экспорт в форматы JSON / STIX / CSV |
|
|
Содержимое отчета об анализе веб-адресов: |
|
|
Общая информация |
|
|
Имена детектируемых объектов (включая объекты, обнаруженные в Sandbox, и сработавшие сетевые правила) |
|
|
Подключенные хосты |
(с ограничениями) |
|
WHOIS |
(с ограничениями) |
|
HTTP(S)-запросы |
(с ограничениями) |
|
DNS-запросы |
(с ограничениями) |
|
Снимки экрана |
(с ограничениями) |
|
Аналитические отчеты об угрозах для конкретной организации (Digital Footprint Intelligence) |
||
Аналитические отчеты об угрозах для конкретной организации (Digital Footprint Intelligence) |
|
|
Уведомления об аналитических отчетах об угрозах для конкретной организации (Digital Footprint Intelligence) |
|
|
Уведомления об угрозах |
|
|
Экспорт уведомлений об угрозах |
|
|
Просмотр и изменение информации об организации |
|
|
Потоки данных о киберугрозах (Data Feeds) |
||
Потоки данных об анализе угроз |
|
|
Инструменты для реагирования на инциденты |
|
|
Дополнительные инструменты для работы с Потоками данных об угрозах |
|
|
SIEM-коннекторы |
|
|
Сопутствующие материалы |
|
|
Управление учетными записями пользователей |
||
Просмотр всех групповых учетных записей |
|
|
Управление групповыми учетными записями (создание, изменение, удаление) |
|
|
Настройка уведомлений по электронной почте |
|
|
Программные требования
Программные и аппаратные требования для работы с Kaspersky Threat Intelligence Portal:
Десктопная версия
Минимальные общие требования:
- 2 ГБ свободного места на жестком диске;
- Соединение с интернетом для работы с Kaspersky Threat Intelligence Portal в онлайн-режиме;
- Открытые порты 443 (HTTPS) и 80 (HTTP);
- Монитор, поддерживающий разрешение экрана 1366x768.
Минимальные аппаратные требования:
- Intel Pentium 1 ГГц (или совместимый аналог) для 32-разрядной операционной системы;
- Intel Pentium 2 ГГц (или совместимый аналог) для 64-разрядной операционной системы;
- 1 ГБ свободной оперативной памяти.
Поддерживаемые браузеры:
- Mozilla Firefox;
- Google Chrome;
- Microsoft Edge;
- Safari.
Мобильная версия
Минимальные общие требования:
- Мобильная версия: мобильные устройства с минимальным разрешением экрана 320x568;
- Версия для планшетов: планшеты с минимальным разрешением экрана 1024x768.
Минимальные и рекомендуемые системные требования:
- Процессор: 1,2 ГГц (рекомендуется 1,5 ГГц);
- 50 МБ свободной оперативной памяти;
- 50 МБ свободного места на жестком диске.
Поддерживаемые операционные системы:
- Android 10 и выше;
- iOS 14.0 и выше;
- iPadOS 14 и выше.
Поддерживаемые браузеры:
- Google Chrome;
- Safari.
Рекомендуется использовать последнюю версию поддерживаемых браузеров. Последние версии браузеров можно загрузить с официальных сайтов их производителей:
Mozilla Firefox Google Chrome Microsoft Edge Safari
Если вы используете неподдерживаемый браузер, функциональность Kaspersky Threat Intelligence Portal может быть ограничена.