Kaspersky erweitert CyberTrace-Lösung
Zentralisierte Plattform für Threat-Intelligence-Management
Der Sicherheitsspezialist Kaspersky hat seine Lösung CyberTrace ausgebaut. Diese umfasst nun erweiterte Threat-Intelligence-Plattform-Funktionen. Dazu gehören unter anderem ein Alert Triage, die Analyse von Bedrohungsdaten sowie die Untersuchung von Vorfällen. Die kostenpflichtige Version lasse sich mit allen gängigen SIEM-Lösungen (Security-Information- und Event-Management) und Sicherheitskontrollen integrieren und biete eine grafische Visualisierung für eine effiziente Reaktion.
Mit dem Ziel, die Sicherheits- und Reaktionsteams in Unternehmen bei der Erkennung, Untersuchung und Bekämpfung von Bedrohungen zu unterstützen und die Effizienz der IT-Sicherheitsabläufe zu steigern, hat Kaspersky sein Threat-Intelligence-Fusion- und Analyse-Tool CyberTrace zu einer zentralen Threat-Intelligence-Plattform ausgebaut.
Die Lösung ist laut Kaspersky-Angaben um Funktionen erweitert, mit denen Sicherheitsteams komplexe Suchvorgänge über alle Indikatorenfelder hinweg durchführen, Observiertes von zuvor geprüften Ereignissen analysieren, die Effektivität integrierter Feeds messen und eine Feed-Schnittstellenmatrix erstellen können. Außerdem biete sie eine öffentliche API für die Integration automatisierter Arbeitsabläufe. Darüber hinaus stelle die Plattform nun Multi-User- und Multi-Tenancy-Funktionen bereit, um Vorgänge zu steuern, die sich von verschiedenen Nutzenden verwalten lassen, und Ereignisse aus verschiedenen Zweigen getrennt zu behandeln. Die kostenpflichtige Version, die laut dem Sicherheitsspezialisten für große Unternehmen und MSSPs geeignet ist, unterstütze alle Funktionen und ermögliche die Verarbeitung und das Herunterladen einer unbegrenzten Anzahl von EPS und Indicators of Compromise (IoC).
Kaspersky betont, dass CyberTrace in der Community-Version für Anwender kostenfrei bleibt. Sie biete alle bestehenden Fähigkeiten der Lösung sowie die oben erwähnten Funktionen, mit Ausnahme der Möglichkeit, Mehrnutzer- und Mehrmandantenkonten hinzuzufügen. Des Weiteren sei die Anzahl der verarbeiteten Ereignisse pro Sekunde (bis zu 250) und die Anzahl der Indikatoren, die sich heruntergeladen lassen (bis zu einer Million), eingeschränkt.
CyberTrace lasse sich nahtlos in alle gängigen SIEM-Lösungen und Sicherheitskontrollen integrieren und unterstütze alle Threat-Intelligence-Feeds in den Formaten STIX 2.0/2.1/1.0/1.1, JSON, XML und CSV. Die Plattform adressiert die Herausforderung, viele unterschiedliche IoCs in SIEMs einzuspeisen, was zu Verzögerungen bei der Verarbeitung von Vorfällen und verpassten Erkennungen führen kann, so die Kaspersky-Angabe. CyberTrace extrahiere automatisch IoCs aus Protokollen, die in SIEMs eingehen, und analysiere sie in der eigenen, eingebauten Machine Engine.
Ein Dashboard mit statistischen Erkennungsdaten, die nach TI-Quellen aufgeschlüsselt sind, soll den Anwendern zudem helfen, zu erkennen und zu analysieren, welche Bedrohungsdaten für ihr Unternehmen am relevantesten sind. Die Multi-Tenancy-Funktion erleichtere des Weiteren den Wissensaustausch und das Reporting für Entscheidungsträger hinsichtlich Threat-Intelligence-Praktiken und ermögliche es Anwendenden, Ereignisse aus verschiedenen Tenants zu bearbeiten.
Die Möglichkeit, IoCs mit Tags zu versehen, helfe bei der Bewertung der Relevanz eines Vorfalls. IoCs sollen sich auch automatisch auf der Grundlage dieser Tags und ihrer Gewichtung sortieren und filtern lassen. Um sich einen vollständigen Überblick über einen Vorfall zu verschaffen, enthält der Dienst nun den sogenannten Research Graph. Dieser unterstütze Analyseteams bei der Untersuchung der Beziehungen zwischen den Indikatoren und der Entwicklung eines Vorfalls in einer grafischen Visualisierung, um effizient reagieren zu können.
Über eine Rest-API können Analyseteams Bedrohungsdaten abrufen und verwalten oder die Plattform problemlos in komplexe Umgebungen für die Automatisierung und Orchestrierung integrieren, so Kaspersky weiter.
Lesen Sie mehr zum Thema
