Dane cyberwywiadowcze (Threat Intelligence Feeds) od ANY.RUN dostarczają informacje dotyczące znanych wskaźników cyberataków (IOC): złośliwych adresów IP, adresów URL, domen, plików oraz portów. Dane te są zbierane i wstępnie przetwarzane na podstawie publicznych próbek złośliwego oprogramowania i phishingu analizowanych w sandboksie ANY.RUN przez społeczność liczącą ponad 500 000 badaczy.

Jak dane cyberwywiadowcze od ANY.RUN wspierają organizacje

Dane cyberwywiadowcze od ANY.RUN rozszerzają zakres ochrony Twoich systemów SIEM (Security Information and Event Management) oraz TIP (Threat Intelligence Platform). Dostarczają wskaźniki cyberataków charakterystyczne dla niedawno wykrytych zagrożeń, dzięki czemu możesz proaktywnie przygotować się do ich neutralizacji. Pozwala to na:

  • rozszerzenie zakresu wykrywanych zagrożeń, a tym samympoprawia zdolność systemów do wykrywania nowych kampanii złośliwego oprogramowania i phishingu,  
  • usprawnienie reakcji na incydenty dzięki wzbogaceniu procesów reagowania o dane kontekstowe dające pełniejszy obraz zagrożenia i jego zachowań,
  • wzmocnienie bezpieczeństwa poprzez zapewnienie proaktywnej ochrony przed nowymi i ewoluującymi zagrożeniami,
  • optymalizację procesów polowania na zagrożenia poprzez ułatwienie identyfikacji i analizy potencjalnych ataków.

Obsługa jest bardzo prosta – to rozwiązanie typu „plug and play”, o ile Twój zespół korzysta już z systemów SIEM lub TIP.

Wskaźniki dostarczane wraz z danymi cyberwywiadowczymi od ANY.RUN

Strumienie danych cyberwywiadowczych zawierają szczegóły dotyczące złośliwych adresów IP, nazw domen i adresów URL, wzbogacone o dane kontekstowe, takie jak powiązane pliki i porty.   

Adresy IP 

Adresy IP są kluczowe do wykrywania i zapobiegania złośliwej aktywności sieciowej. Często są powiązane z kontrolowanymi przez cyberprzestępców serwerami C2 (Command-and-Control) lub kampaniami phishingowymi. Analiza adresów IP pozwala:

  • identyfikować i blokować złośliwe źródła,
  • analizować pochodzenie ataków,
  • monitorować wzorce zagrożeń.

Domeny 

Domeny często służą jako centra operacyjne dla kampanii cyberataków, łącząc różne adresy IP lub próbki złośliwego oprogramowania w ramach jednej operacji.

Dane cyberwywiadowcze ANY.RUN dostarczają pełne informacje o domenach, w tym nazwy zagrożeń, ich typ, czas wykrycia oraz powiązane skróty (hashe) plików.

Adresy URL 

Adresy URL to bramy do rozpowszechniania złośliwych programów, prowadzenia działań phishingowych lub przekierowywania użytkowników do szkodliwych treści. Ich elastyczność sprawia, że są preferowanym narzędziem atakujących. Analiza adresów URL pozwala:

  • rozpoznawać wzorce ataków,
  • blokować szkodliwy ruch,
  • zapobiegać nieautoryzowanemu dostępowi do systemów i danych.

Kluczowe zalety danych cyberwywiadowczych od ANY.RUN

  • Świeże wskaźniki – dane pochodzą z najnowszych próbek złośliwego oprogramowania z sandboxa ANY.RUN i są aktualizowane co kilka godzin.
  • Szeroki kontekst danych – masz dostęp do sesji z sandboxa zawierających zrzuty pamięci, ruch sieciowy i zdarzenia.
  • Zaawansowane przetwarzanie wstępne – dane są filtrowane i oceniane za pomocą algorytmów i autorskiej technologii.
  • Formaty STIX i MISP – dane są dostępne w standardowych formatach, co ułatwia integrację z istniejącą infrastrukturą bezpieczeństwa.

Próbka demonstracyjna danych cyberwywiadowczych od ANY.RUN

ANY.RUN udostępnia bezpłatne próbki danych cyberwywiadowczych pochodzących sprzed 6 miesięcy, które możesz przetestować w swoim środowisku bezpieczeństwa.

Skontaktuj się z nami, by uzyskać dostęp do nowszej wersji danych testowych lub dokonać zakupu.

Do skorzystania z wersji demonstracyjnej niezbędne jest:

  • posiadanie konta ANY.RUN zarejestrowanego na adres e-mail we własnej domenie,
  • posiadanie konta administracyjnego w użytkowanym systemie SIEM/TIP.

Aby zintegrować wersję demonstracyjną danych cyberwywiadowczych ANY.RUN, wykonaj następujące działania: 

1. Przejdź do panelu danych cyberwywiadowczych

Konfiguracja danych cyberwywiadowczych od ANY.RUN jest łatwa i szybka

2. Wybierz, jakie wskaźniki chcesz otrzymywać, zaznaczając opcje: adresy URL, domeny, adresy IP (lub dowolną kombinację tych trzech parametrów).

Wybór strumieni danych sprowadza się do zaznaczenia odpowiednich opcji

3. Skopiuj adres i dodaj go jako źródło w swoim systemie SIEM/TIP (zazwyczaj w sekcji „Threat Intelligence Feeds”). 

Adres URL danych cyberwywiadowczych należy skopiować i wkleić w swoim systemie SIEM i/lub TIP

Możesz także pobrać próbkę danych cyberwywiadowczych w formacie STIX lub MISP – w tym celu kliknij przycisk Get demo.

4. Skopiuj klucz API w panelu i wklej go w odpowiednim polu API w swoim systemie SIEM/TIP (w tej samej sekcji, o której była mowa w poprzednim kroku). 

Niezbędne jest także przeniesienie klucza API do swojego systemu SIEM/TIP

To wszystko! Od tego momentu masz dostęp do wersji demonstracyjnej danych cyberwywiadowczych od ANY.RUN.

Jakie rozwiązania pozwalają integrować dane cyberwywiadowcze od ANY.RUN

Strumienie danych są udostępniane w standardowych formatach STIX i MISP, co oznacza, że można je zintegrować praktycznie z każdym dostawcą – w tym z popularnymi platformami, takimi jak OpenCTI czy ThreatConnect.

Aby uzyskać pomoc w integracji, skontaktuj się z nami.

Jak dane cyberwywiadowcze wspomagają Twoją działalność biznesową 

Dodanie danych cyberwywiadowczych do architektury bezpieczeństwa wspiera Twoją organizację na wielu poziomach:

  • Redukcja kosztów: inwestycja w dane cyberwywiadowcze pozwala uniknąć kosztownych incydentów bezpieczeństwa.
  • Bardziej świadome decyzje: wysokiej jakości dane cyberwywiadowcze pozwalają skupić się na realnych zagrożeniach, zamiast marnować czas specjalistów na ręczną obsługę masowych i nieskomplikowanych ataków, które mogą być z powodzeniem przetwarzane przez systemy zautomatyzowane.
  • Ochrona reputacji: szybka detekcja ogranicza ryzyko incydentów wpływających na wizerunek firmy.
  • Efektywność operacyjna: lepsze procesy reagowania i skrócony czas rozwiązywania incydentów (MTTR).
  • Zgodność z regulacjami: dane cyberwywiadowcze pomagają dokumentować incydenty, tworzyć raporty i spełniać wymogi RODO, HIPAA, PCI oraz innych standardów/rozporządzeń.

Informacje o ANY.RUN 

ANY.RUN to rozwiązanie łączące chmurowy, interaktywny sandbox do analizy złośliwych programów z rozbudowanymi źródłami danych cyberwywiadowczych. Platforma ułatwia pracę analityków z działów SOC oraz jednostek odpowiedzialnych za reagowanie na incydenty. Każdego dnia korzysta z niej ponad 500 000 profesjonalistów z całego świata.

Poproś o demo i korzystaj bezpłatnie przez 14 dni z najwyższego planu Enterprise

Źródło: https://any.run/cybersecurity-blog/ti-feeds-integration/