Гарда Threat Intelligence (Гарда TI) – сервис сбора данных о киберугрозах для обогащения систем безопасности и своевременной реакции на актуальные векторы атак. Сервис позволяет заказчикам определять принадлежность IP-адреса к определенному городу, региону или стране, помогает обнаружить угрозы и быстро принять решение о блокировке потенциального вредоноса. Уникальность Гарда TI в том, что сервис учитывает особенности атак на российские ресурсы. Другие источники, которые включают более широкий контекст, также используются, но акцент сделан именно на отечественной специфике.
Основные возможности:
Актуальная база GeoIP, которая ежемесячно обновляется производителем. Технология применяется в случаях, когда необходимо формировать правила на основе географической принадлежности IP-адресов: при настройке шлюзов безопасности и файерволов, для защиты веб-сервисов. Интерфейс сервиса позволяет выгружать IP-адреса в форматах .csv и .mmdb.
Обновления Гарда TI позволяют заказчикам принимать участие в развитии сервиса, сообщая производителю об актуальных для них угрозах. Информация об обнаруженной клиентом угрозе поступает в аналитический центр группы компаний и после верификации попадает в общую базу фидов. Совместное участие заказчиков и вендора в обнаружении и анализе угроз дает возможность быстрее выявлять паттерны и характеристики атак и способствует более быстрому и точному реагированию на угрозы. Обогащение сервиса новыми данными усиливает его и позволяет другим клиентам повышать эффективность систем информационной безопасности».
Готовые сигнатуры за счет доступности правил YARA и Suricata.
Технология поиска индикаторов вредоносных фреймворков на основе их активности и используемых ими артефактов, в том числе JARM-отпечатков. Это позволяет поддерживать релевантность базы индикаторов вредоносных фреймворков, например, Cobalt Strike.