Разузнаването на киберзаплахи става по-ценно, когато индикаторите се обогатяват с контекст, който подпомага разследването, корелацията и вземането на решения. Чрез интеграцията на Criminal IP с OpenCTI, екипите за сигурност могат да трансформират IP адреси, домейни и URL адреси от изолирани индикатори в структурирани данни за заплахи в рамките на графа на знанието на OpenCTI.
Интеграцията автоматично обогатява индикаторите с оценка на репутацията от Criminal IP, данни за инфраструктурата, информация за уязвимости, поведенчески сигнали и анализ на фишинг. Получената информация е структурирана като обекти и връзки в OpenCTI, което позволява на анализаторите да изследват свързана инфраструктура, да идентифицират потенциални повърхности за атака и да приоритетизират високорискови индикатори.
Контекстуално оценяване на риска извън простата репутация
Criminal IP осигурява двупосочно оценяване на риска (входящ и изходящ), отразявайки както как дадено IP е таргетирано, така и как се държи външно. Това дава на анализаторите по-нюансиран сигнал от традиционните модели за репутация с една оценка и подобрява приоритетизирането на високорискова инфраструктура.
Дълбоко разузнаване на инфраструктурата, вградено в графа
Обогатяването надхвърля простото маркиране на индикатори; Criminal IP създава структурирани OpenCTI обекти и връзки, включително уязвимости (CVE), автономни системи (ISP) и геолокация. Това позволява на анализаторите да се насочват към различни части на инфраструктурата, да разкриват споделени компоненти и да идентифицират свързана инфраструктура в рамките на графа.
Корелация между изложени услуги и уязвимости
Чрез свързване на наблюдаваните услуги с известни CVE, интеграцията осигурява незабавна представа за потенциалните повърхности за атака. Анализаторите могат бързо да преценят дали дадено IP е не само зловредно, но и експлоатабилно или активно използвано в атаки.
Висококачествено етикетиране на заплахи и поведенчески сигнали
Автоматично генерираните етикети включват множество точки от данни, като технологии за анонимизация (VPN, прокси, TOR), характеристики на хостинга и класификации за зловреден софтуер. Този многопластов подход за етикетиране осигурява по-богат контекст от простото двузначно маркиране на „зловреден/добронамерен“.
Разширено разузнаване на домейни и фишинг
За домейни Criminal IP извършва пълен URL анализ за откриване на фишинг активност, страници за събиране на идентификационни данни, подозрителни файлове и техники за имитация. Оценките на доверие са пряко свързани с вероятността за фишинг, давайки на анализаторите количествено измерима оценка на риска.
Поддръжка на картографиране и анализ на инфраструктурата
Интеграцията свързва индикаторите с мрежова собственост (автономни системи), физически местоположения и разрешена IP инфраструктура. Това позволява на екипите да идентифицират модели на хостинг, регионално групиране и инфраструктурни модели между различните индикатори.
Процесът се състои в следното:
- Индикаторите (IP адреси, домейни, URL адреси) се въвеждат в OpenCTI.
- Конекторът на Criminal IP автоматично обогатява всеки индикатор с оценка на репутацията, данни за инфраструктурата и анализ на фишинг.
- Обогатените данни се структурират в обекти и връзки, позволявайки разследване, корелация и анализ в рамките на графа на знанието на OpenCTI.
Триаж в SOC и валидиране на сигнали
Бързо валидиране на подозрителни IP адреси и домейни с помощта на двойно оценяване на риска, инфраструктурен контекст и фишинг разузнаване, което позволява на анализаторите да приоритетизират високорискови индикатори.
Лов на заплахи и проследяване на инфраструктура
Възползвайте се от обогатените връзки като CVE, автономни системи и геолокация, за да преминавате през свързана инфраструктура и да разкривате свързани активи, използвани в операции на нападателите.
Идентифицирайте и анализирайте зловредни домейни, страници за събиране на идентификационни данни и поддържаща инфраструктура, за да проследявате фишинг активността и да разберете по-широките модели на кампаниите.
OpenCTI е платформа за разузнаване на киберзаплахи с отворен код, създадена да структурира, съхранява и анализира данни за заплахи с помощта на модел, базиран на граф. Тя позволява на организациите да свързват индикатори, уязвимости, зловредни актьори и кампании в единна база знания.
Criminal IP предоставя готови за вземане на решения разузнавателни данни за киберзаплахи чрез анализ на IP адреси, домейни и URL адреси в глобалния интернет. Задвижван от изкуствен интелект (AI) и OSINT, той осигурява оценка на репутацията, видимост на инфраструктурата и откриване на зловредна дейност в реално време.