Anomali Match — матчинг индикаторов взлома на высоких скоростях
Anomali Match — это решение для практического применения тактической киберразведки, которое позволяет с высокой скоростью искать индикаторы взлома в инфраструктуре заказчика, как в текущих, так и в исторических данных на горизонте от пяти лет и более.
Какие задачи решает Anomali Match
Anomali Match позволяет построить процесс сетевой и хостовой форензики и хантинга, а также ретроспективного анализа.
Похожий функционал можно реализовать на базе многих SIEM-систем, но в крайне ограниченном виде. Anomali позволяет искать сотни миллионов индикаторов в логах за 5-10 лет, и поиска занимает секунды, в то время как SIEM-системы позволяют искать только несколько тысяч индикаторов в логах за 30-60 дней, и поиск занимает часы или дни, что недопустимо при расследовании активных и чувствительных инцидентов, нагружает SIEM и замедляет работу других пользователей в системе.
Благодаря специальному движку Big Data пользователи Anomali Match получают моментальную автоматическую идентификацию новых и вновь выявленных старых атак на предмет их присутствия в сети, произвольный поиск индикаторов при расследовании инцидентов (хантинг) и визуализация траектории распространения атаки в сети заказчика в разрезе хостов и стадий Kill Chain. Хантинг может осуществляться не только в терминах индикаторов взлома (IP-адрес, хэш, хост и т.п.), но и в терминах названий злоумышленных группировок, их кампаний, отчетов об угрозах и иной аналитики. При выявлении инцидента также наглядно виден контекста атаки и злоумышленника, организовавшего атаку, доступно обогащение инцидентов киберразведкой.
Благодаря Anomali Match, заказчик получает возможность выявлять взломы в реальном времени и обнаруживать ранее необнаруженные взломы. Если инцидент выявлен, Anomali позволяет быстро расследовать масштаб инцидента, что позволяет аналитикам не тратить часы или даже дни, дожидаясь получения данных из SIEM. Кроме того, Anomali Match позволяет избежать затраты на повышение производительности или расширение горячего хранилища SIEM-системы, при этом предоставляя более детальную аналитику по угрозам.
Anomali является пионером и лидером рынка практического применения киберразведки. Решение Anomali Match разворчивается полностью на площадке компании, без отсылки логов в Интернет и без обязательного наличия связи с сетью Интернет. Продукт имеет порядка 150 встроенных источников индикаторов киберразведки и позволяет произвольно подключать новые источники. Решение принимает множество различных форматов сетевых, хостовых и иных логов и источников данных, и интегрируется с существующими SIEM и SOAR-системами и сканерами уязвимостей. Anomali Match эффективно сжимает и хранит только необходимые данные, оптимально используя хранилище, и позволяет масштабироваться даже на самые большие инфраструктуры. Match входит в платформу киберразведки Anomali Altitude, и нативно интегрировано с Anomali ThreatStream и Lens.