Integration von Threat Data Feeds in Sentinel
Kaspersky und Microsoft kooperieren bei Threat Intelligence
Kaspersky Threat Data Feeds sind neuerdings in Microsoft Sentinel integriert – einer Cloud-nativen SIEM- und SOAR-Lösung, die Nutzern verwertbaren Kontext für die Untersuchung von Angriffen und die Reaktion darauf bieten soll. Sicherheitsteams in Unternehmen können damit ihren Erkennungsradius hinsichtlich Cyberbedrohungen erweitern und die Effektivität ihrer initialen Alarmtriage, der Bedrohungssuche sowie der Vorfallreaktion erhöhen, so der Plan.
Laut IDC ist Threat Intelligence (TI) eine grundlegende Komponente moderner Cybersicherheitsprogramme. Die entsprechenden TI-Services bieten sowohl qualitative Bewertungen als auch umsetzbare, automatisierte Lösungen, die eine bestehende Sicherheitsabwehr unterstützen, wie Kaspersky die Marktforscher zitiert. Für Unternehmen sei es außerdem wichtig, TI nahtlos in ihre Sicherheitsabläufe einzubinden, um einen möglichst effektiven Schutz vor Cyberbedrohungen zu gewährleisten.
Durch den Zugriff auf die Threat Intelligence von Kaspersky über Microsoft Sentinel erhalten Unternehmen die neuesten Informationen zur Bekämpfung von Cyberangriffen. Die Feeds umfassen Bedrohungsnamen, Zeitstempel, Geolocation, feste IP-Adressen von infizierten Webressourcen, Hashes, häufig genutzte Recherchefälle und andere oft genutzte Suchbegriffe. Mit diesen Daten sollen Sicherheitsteams oder SOC-Analysten die anfängliche Alarmtriage beschleunigen können, indem sie fundierte Entscheidungen zur Untersuchung oder Eskalation an ein Incident-Response-Team treffen.
Kaspersky Threat Data Feeds werden automatisch und in Echtzeit generiert und fassen qualitative Daten aus verschiedenen seriösen Quellen weltweit zusammen. Dazu gehören das Kaspersky Security Network, zu dem Millionen freiwilliger Teilnehmer auf der ganzen Welt gehören, der Botnet-Monitoring-Service, Spam-Traps sowie die weltweit anerkannten Kaspersky-Experten des Global Research and Analysis Teams (GReAT) und des R&D-Teams. Alle Daten werde man sorgfältig prüfen und durch dedizierte Vorverarbeitungstechniken verfeinern.
Microsoft Sentinel verwendet das TAXII-Protokoll und empfängt Datenfeeds im STIX-Format, sodass sich Kaspersky Threat Data Feeds als TAXII-Threat-Intelligence-Quelle in der Schnittstelle konfigurieren lassen. Nach dem Import haben Cybersecurity-Teams die Möglichkeit, sofort einsetzbare Analyseregeln zu nutzen, um Bedrohungsindikatoren aus Feeds mit ihren Protokollen abzugleichen.
Lesen Sie mehr zum Thema
