AM Threat Intelligence Portal
AM Threat Intelligence Portal (AM TIP) является веб-сервисом, обеспечивающим доступ к базе экспертных данных АО «ПМ». Портал интегрирован с внутренними и внешними сервисами экспертных данных ПМ, что позволяет оперировать всегда актуальными данными в режиме реального времени.
AM TIP предоставляет актуальную подробную информацию об угрозах по CVE, IP-адресам, хэшам, доменам и URL
В следствии чего, пользователь и системы информационной безопасности получают информацию о новых и возникающих угрозах, что позволяет обеспечить безопасность организации и повысить эффективность реагирования на инциденты.
Функциональные возможности веб-сервиса
Киберкарта:
- Просмотр аналитической информации по угрозам на карте мира и цветовая индикация стран в соответствии с процентом исходящих угроз по отношению к России;
- Отображение ТОП-10 атакующих стран и IP-адресов;
- Отображение ТОП-10 самых часто встречаемых угроз;
- Отображение ТОП-10 самых часто встречаемых идентификаторов уязвимостей (CVE);
- Ежедневное обновление информации и возможность выбрать различные фильтры отображения информации по источникам и периоду времени.
TI LOOKUP:
- Просмотр комплексной информации по IoC’ам (хэшам, доменам, IP-адресам, URL’ам) в веб-интерфейсе;
- Просмотр базы решающих правил AM Rules по идентификаторам уязвимости (CVE);
- Возможность выгрузки комплексной информации об индикаторе компрометации из веб-интерфейса в формате STIX 2.1;
- Возможность просмотра в веб-интерфейсе и выгрузки базы решающих правил AM Rules по индикатору компрометации в форматах Snort, Suricata, YARA, OSSEC;
- Оценка вредоносности ресурса на основе методики скоринга, разработанной ПМ. красный (≥0,7) — вредоносный; оранжевый (≥0,3 <0,7) — недоверенный; зелёный (<0,3) — не квалифицирован как вредоносный.
Интеграция по API:
- Возможность получения базы решающих правил AM Rules по конкретному индикатору компрометации по API;
- Возможность получения комплексной информации об индикаторе компрометации с помощью API.
Примеры индикаторов компрометации для поиска в AM Threat Intelligence Portal
|
№ пп |
Наименование |
Примеры запроса |
|
1 |
CVE |
2023-42793 |
|
2 |
IP-адрес |
185.205.209.166 |
|
3 |
Хеш: MD5 |
1116935c6e67faa46ae25a87eaaacf5f |
|
4 |
Хеш: SHA-1 |
b2c829299a9b6b103587b052361313cc5f1d5cc0 |
|
5 |
Хеш: SHA-256 |
81d1e936a8f817e01344049ce63b41e968fec7b265c9d2ab6678412904f15178 |
|
6 |
Домен |
rghost.net |
|
7 |
URL |
Список смежных собственных систем, в которых хранятся и собираются сведения об индикаторах компрометации
AM Pellonia - система киберразведки, предназначенная для мониторинга, сбора, обогащения, корреляции и агрегации информации об угрозах информационной безопасности.
СБРП AM Rules - система для разработки и выпуска базы решающих правил.
TI-pipeline - система обработки образцов ВПО и PCAP'ов для автогенерации IoC.
IP2GEO - система определения месторасположения (GeoIP).