Kaspersky ha annunciato l’integrazione dei Kaspersky Threat Data Feeds con Microsoft Sentinel, una soluzione SIEM e SOAR cloud native che avrà l’obiettivo di mettere a disposizione degli utenti di Microsoft Sentinel informazioni di contesto utili per le indagini e la risposta agli attacchi.
Questa integrazione è progettata affinché i team di sicurezza aziendali possano estendere le capacità di rilevamento delle minacce informatiche e aumentare l’efficacia del triage iniziale degli alert, del threat hunting o della risposta agli incidenti.
Kaspersky cita IDC, secondo cui: “La threat Intelligence è una componente fondamentale di un moderno programma di cybersecurity… I programmi di threat intelligence forniscono sia valutazioni qualitative che soluzioni automatizzate e attuabili che rafforzano le difese di sicurezza esistenti“.
Inoltre, per le aziende è importante poter incorporare senza problemi la threat intelligence all’interno delle operazioni di sicurezza per ottenere una protezione più efficace dalle minacce informatiche.
L’accesso alla threat intelligence (TI) di Kaspersky attraverso Microsoft Sentinel consente alle aziende di disporre di informazioni aggiornate per contrastare i cyberattacchi. Le informazioni di contesto nei feed includono il nome delle minacce, i timestamp, la geolocalizzazione, gli indirizzi IP delle risorse web infette, gli hashtag, il livello di popolarità delle minacce e molto altro ancora.
Grazie a questi dati – sottolinea la società di cybersecurity –, i team di sicurezza o gli analisti SOC possono accelerare il triage iniziale degli avvisi, prendendo decisioni informate per le indagini o l’escalation a un team di risposta agli incidenti.
I Kaspersky Threat Data Feeds sono generati automaticamente in tempo reale e aggregano dati di alta qualità provenienti da diverse fonti affidabili in tutto il mondo. Tra queste, Kaspersky Security Network che copre milioni di utenti su base volontaria a livello globale, il servizio di monitoraggio delle botnet, le trappole per lo spam, e gli esperti di Kaspersky provenienti dai team GReAT e R&D. Tutti i dati vengono accuratamente ispezionati e perfezionati con tecniche di pre-elaborazione dedicate.
Microsoft Sentinel utilizza il protocollo TAXII e riceve i data feed in formato STIX, pertanto consente di configurare Kaspersky Threat Data Feeds come fonte di threat intelligence TAXII nell’interfaccia. Una volta importati, i team di cybersecurity possono utilizzare le regole analitiche disponibili per abbinare gli indicatori di minaccia dai feed ai log.
Ivan Vassunov, VP Corporate Products di Kaspersky, ha commentato: “Siamo entusiasti di collaborare con Microsoft e di aiutare gli utenti di Microsoft Sentinel ad accedere alla threat intelligence di Kaspersky. Espandere l’integrazione con i controlli di sicurezza di terze parti rende ancora più facile per i clienti rendere operativa la nostra TI, che rappresenta una delle nostre priorità principali.
La TI di Kaspersky è progettata per essere adattata alle esigenze di qualsiasi organizzazione, i dati vengono raccolti da un gran numero di fonti diverse e diversificate per coprire le organizzazioni che operano in settori specifici, geolocalizzazioni e minacce diverse. Oltre due decenni di ricerca sulle minacce ci hanno consentito di raggiungere questo obiettivo, fornendo ai team di sicurezza globali le informazioni necessarie in ogni fase del ciclo di gestione degli incidenti“.
Rijuta Kapoor, Senior Program Manager di Microsoft, ha dichiarato: “Gli attacchi informatici sono in continuo aumento e per rimanere protette le organizzazioni hanno bisogno di modi rapidi per rilevare le minacce.
Con l’integrazione tra Kaspersky e Microsoft Sentinel, i clienti potranno importare facilmente la threat intelligence prodotta da Kaspersky in Microsoft Sentinel utilizzando lo standard di settore STIX/TAXII per i rilevamenti, il threat hunting, l’investigazione e l’automazione“.
