Les flux de données sur les menaces de Kaspersky sont désormais intégrés à Microsoft Sentinel, un logiciel SIEM et SOAR en Saas, afin d’aider ses utilisateurs à disposer d’un contexte exploitable pour l’investigation et la réponse aux attaques.
L’accès à Kaspersky TI par le biais de Microsoft Sentinel permet aux entreprises de disposer des dernières informations pour contrer les cyberattaques. Le contexte exploitable dans les flux de renseignement comprend les noms des menaces, les horodatages, la géolocalisation, les adresses IP résolues des ressources web infectées, les hachages, la popularité ou d’autres termes de recherche. Grâce à ces données, les équipes de sécurité ou les analystes SOC peuvent accélérer le triage initial des alertes en prenant des décisions éclairées pour l’investigation ou l’escalade vers une équipe de réponse aux incidents.
Les données de Kaspersky sont générés automatiquement en temps réel en provenance de multiples sources fiables dans le monde entier. Parmi elles, le Kaspersky Security Network qui couvre des millions de participants volontaires, le service de surveillance des botnets, les pièges à spam, ainsi que les experts Kaspersky du GReAT. Toutes les données sont soigneusement inspectées et affinées à l’aide de techniques de prétraitement dédiées.
Microsoft Sentinel utilise le protocole TAXII et reçoit les flux de données au format STIX. Il permet donc de configurer Kaspersky Threat Data Feeds comme une source TAXII de renseignements sur les menaces, dans l’interface. Une fois ces données importées, les équipes de cybersécurité peuvent utiliser des règles d’analyse prêtes à l’emploi pour faire correspondre les indicateurs de menaces des flux avec les journaux.
« La TI de Kaspersky est conçue pour être adaptée aux besoins de toute organisation, car nous collectons des données à partir d’un grand nombre de sources différentes et variées pour couvrir les organisations dans des industries, des géolocalisations spécifiques et avec des paysages de menaces spécifiques. Plus de deux décennies de recherche sur les menaces nous permettent de rendre cela possible, tout en fournissant aux équipes de sécurité mondiales les informations dont elles ont besoin à chaque étape du cycle de gestion des incidents », commente Ivan Vassunov, VP des produits de Kaspersky.