В Security Capsule SIEM появился модуль индикаторов компрометации

В системе мониторинга и корреляции событий информационной безопасности Security Capsule SIEM реализован модуль индикаторов компрометации. Он предназначен для ведения базы признаков угрозы и их использования в процессе анализа событий информационной безопасности.

Модуль позволяет сопоставлять события в инфраструктуре с известными индикаторами компрометации, включая сетевые адреса, доменные имена, веб-адреса, хеш-суммы и другие артефакты. Такой подход применяется для последующей проверки событий и уточнения их контекста.

В системе предусмотрены ручное добавление индикаторов, загрузка из файла, объединение записей в группы, назначение меток и управление активностью. Оператор может искать индикаторы по значению, описанию, группе и метке, а также поддерживать актуальность отдельных записей и наборов.

Загрузка из файла позволяет переносить сведения о признаках угрозы во внутренний контур работы системы. После обработки файла найденные индикаторы могут быть сгруппированы для дальнейшего использования в анализе событий.

Реализация модуля дополняет существующие возможности Security Capsule SIEM по мониторингу и корреляции событий информационной безопасности. Новый функционал предназначен для организаций, которым требуется единый порядок работы с индикаторами компрометации в рамках внутренних процессов выявления и разбора инцидентов.