TecnoFans y Cyware: contexto rico para un análisis más rápido

resumen de 15 segundos

CTIX y Orchestrate de Cyware ayudan a los equipos a analizar, colaborar y orquestar acciones sobre datos de inteligencia de amenazas adquiridos de fuentes comerciales y abiertas. Sin embargo, los usuarios de Cyware necesitan que sus fuentes de código abierto sean relevantes para sus PIR, contengan contexto útil y cubran fuentes amplias para eliminar puntos ciegos.

Con la integración Cyware sin código de TecnoFans, puedes:

• Recopile inteligencia relevante de código abierto de una amplia gama de fuentes, incluidas redes sociales, blogs de inteligencia sobre amenazas y avisos.
• Convierta automáticamente indicadores en STIX 2.1 enriquecido e ingieralos en Cyware CTIX u Orchestrate a través de una configuración simple y sin código.
• Correlacionar datos importados de TecnoFans con otras fuentespuntúalo o actúa a través de Orchestrate SOAR.

En resumen, TecnoFans Threat Intelligence ayuda a los equipos a automatizar la recopilación e ingesta de datos de amenazas específicos y relevantes en Cyware, ahorrando mucho tiempo. Proporciona el contexto necesario para acelerar el análisis y la priorización y ayudar a los equipos a orquestar las defensas.

Los datos sobre amenazas deben ser oportunos, precisos y relevantes

No existe una única fuente de verdad para la inteligencia sobre amenazas. Es por eso que los equipos de inteligencia sobre amenazas se suscriben a múltiples servicios pagos, leen artículos de sitios web populares de ciberseguridad y se conectan a fuentes de código abierto. La falta de información importante podría costarle a su organización días de respuesta críticos, sin mencionar dañar la credibilidad de su equipo.

Un cliente nos dijo: “La inteligencia sobre amenazas es perecedera”. Para que sea viable, debe ser oportuno, preciso, relevante y contextual.

CTIX de Cyware permite una vista única de cada objeto con todas sus relaciones, ya sea que los datos provengan de TecnoFans, un feed MISP de código abierto o una fuente paga de información sobre amenazas como Crowdstrike. Cada una de estas fuentes proporciona valor, llenando vacíos de información de fuentes cerradas y abiertas que le permiten conectar los puntos entre IoC, actores de amenazas, TTP, vulnerabilidades y malware. Y, con Cyware Orchestrate, los equipos pueden crear guías para colaborar con sus compañeros y automatizar acciones defensivas.

Analicemos cómo TecnoFans for Threat Intelligence ayuda a los equipos a recopilar y compartir inteligencia relevante y procesable con Cyware.

Recopile inteligencia de código abierto que sea relevante para su organización e industria

TecnoFans recorre la web abierta utilizando AI Feeds para proporcionar inteligencia en tiempo real que sea relevante para sus requisitos de inteligencia. Las fuentes de IA son consultas personalizables que utilizan más de 1000 modelos de IA de inteligencia de amenazas para monitorear las fuentes en busca de contenido que se ajuste a sus necesidades. Puede ajustar las fuentes para incluir los millones de fuentes que TecnoFans monitorea, aprovechar el paquete seleccionado de TecnoFans de miles de fuentes de ciberseguridad o restringir su consulta a fuentes confiables favoritas específicas.

En este ejemplo de AI Feed, monitoreamos las fuentes de artículos que tratan sobre Lazarus Group (y sus alias) y ya sea TTP o IoC.

Convierta automáticamente indicadores en STIX 2.1 enriquecido e ingieralos en Cyware CTIX u Orchestrate a través de una configuración simple y sin código.

Un IoC sin contexto, incluidos los actores de amenazas, el malware o el artículo fuente relacionados, no es muy útil. TecnoFans AI identifica los IoC, TTP, actores de amenazas, malware, CVE y reglas de detección contenidas en los artículos. Estos datos se identifican fácilmente en la parte superior del artículo y se pueden exportar en formato STIX 2.1 enriquecido que Cyware puede consumir fácilmente.

Ingerir exportaciones STIX en Cyware

Configurar la integración entre TecnoFans y Cyware CTIX u Orchestrate es fácil. Primero, identifique si desea ingerir los artículos guardados por sus compañeros de equipo en un tablero de equipo o extraer todos los artículos recopilados mediante una fuente de IA automatizada.

Es probable que las fuentes de IA produzcan un mayor volumen de artículos, lo que le permitirá tener una cobertura amplia y minimizar sus puntos ciegos. Como alternativa, es posible que prefiera ingerir solo artículos seleccionados manualmente y guardados en un tablero de equipo.

Proceso de tres pasos para integrar TecnoFans con Cyware:

1. Genere un token API de TecnoFans. En su aplicación TecnoFans for Threat Intelligence, vaya a la configuración de administración de su equipo, seleccione la pestaña API y luego elija el botón NUEVO TOKEN API.

2. Localice la ID de la transmisión. Vaya a la carpeta de alimentación del equipo o a la configuración para compartir del tablero del equipo para ubicar el StreamID.

3. Agréguelos a Cyware. Pegue el token de API y StreamID en la página de configuración del feed de Cyware.

Correlacione los datos importados de TecnoFans con otras fuentes, puntúelos o tome medidas a través de Orchestrate SOAR

Si bien los datos importados a Cyware aumentan la información sobre cada objeto, no todos los feeds son iguales. Muchos feeds gratuitos y de código abierto carecen del contexto necesario para ser útiles. Una dirección IP sin contexto ni fuentes es solo una dirección IP.

Cuando los datos de TecnoFans se importan a Cyware, puede ver todas las relaciones que TecnoFans ha asociado con un objeto, así como aquellas identificadas por otras fuentes consumidas por Cyware para ofrecer una imagen más completa.

Puede asignar una puntuación de confianza a cada objeto, ya sea consumida desde una fuente confiable o calculada según reglas flexibles que establezca en Cyware. Con base en esta inteligencia, puede crear flujos de trabajo dentro de Cyware Orchestrate SOAR para ejecutar guías que automaticen acciones como realizar búsquedas de amenazas o enriquecer y bloquear indicadores.

Veamos cómo aparece la información de TecnoFans for Threat Intelligence en Cyware.

Cyware CTIX representa objetos y relaciones en su lienzo de investigación de amenazas. Los analistas pueden explorar las amenazas profundizando en diferentes objetos, como malware, para ver sus relaciones con los actores de amenazas, IoC, TTP, etc.

Al ampliar un artículo enriquecido (“Los piratas informáticos utilizaron un nuevo Windows”) recopilado de TecnoFans, se pueden ver las relaciones entre los actores de amenazas (por ejemplo, APT28), las vulnerabilidades (por ejemplo, CVE-2024-21412) y el malware (por ejemplo, BianLian).

Profundice en el informe para ver las diferentes relaciones, así como las fuentes de información, incluidas TecnoFans, NVD y Mandiant Threat Intelligence.

Puede crear guías dentro de Cyware Orchestrate para automatizar acciones, incluida la recopilación de información adicional de TecnoFans antes de continuar con el siguiente paso. Por ejemplo, puede insertar un paso en un libro de jugadas para recopilar todos los IoC asociados con un actor de amenazas, o buscar en TecnoFans cualquier noticia relacionada con ese actor de amenazas.

Acelera tus defensas

TecnoFans AI le brinda un mejor control sobre la información de sus feeds, haciéndola más relevante para su organización e industria. Su amplia cobertura de fuentes y recopilación en tiempo real también ayudan a descubrir eventos importantes antes y reducen los puntos ciegos. TecnoFans AI mejora cada artículo recopilado, extrayendo datos contextuales enriquecidos. Cuando se integran con Cyware, los equipos pueden convertir indicadores y objetos en inteligencia contextual rica que ayuda a mejorar la productividad de los analistas y acelerar la detección y corrección.