Security Vision Threat Intelligence Platform (TIP)

Основные статьи:

• Security Information and Event Management (SIEM)
• Data mining Интеллектуальный анализ данных
• Как действует хакер при целевой атаке и как ему помешать? Обзор возможностей сервисов Threat intelligence
• Threat intelligence TI киберразведка

2025

Доработка движка глубокой аналитики киберугроз second match

Компания Security Vision 17 ноября 2025 года сообщила о выходе обновленной версии продукта анализа угроз кибербезопасности и проведения киберразведки (TIP).

𝓲

Фото: Security Visio

Продукт Threat Intelligence Platform (TIP) на платформе Security Vision v5 обеспечивает потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.

TIP предоставляет следующий функционал:

• Получение потока событий из решений различных классов (SIEM, NGFW, Proxy/e-mail-сервера, data lakes и др.), благодаря наличию большого количества готовых коннекторов, поддержке универсальных форматов (Syslog, CEF, LEEF, EMBLEM, Event log), а также конструктора, который позволяет в режиме no-code настраивать новые интеграции;
• Автоматическую загрузку всех уровней индикаторов: технические (хэш-суммы, IP-адреса, URL, домены, email, маски), тактические (ключи реестра, процессы и JARM), операционные (уязвимости, ВПО, пользовательские данные и др.) и стратегические;
• Интеграцию с десятками различных коммерческих и open source фидами;
• Возможность обогащения как из внешних (VirusTotal, Shodan, LOLBAS, KasperskyOpenTIP, IPGeolocation.io и др.), так и из встроенных источников MITRE ATT&CK;
• Встроенное реагирование и взаимодействие с СЗИ, в частности, запуск действий из инцидента и аналитического графа связей, без обязательного применения SOAR для автоматизации;
• Продвинутые механики обнаружения индикаторов: phishing и DGA-механизмы с использованием машинного обучения, match в потоке событий и retro-поиск по всем собранным данным или по определенным IoC.

В данной версии продукта:

• Существенно доработан движок глубокой аналитики киберугроз second match. Он обеспечивает вторичную проверку индикаторов компрометации (IoC). Механизм использует дополнительную корреляцию с внешними системами (SIEM, VM, IDS) и внутренними источниками данных, что позволяет формировать контекстно обогащённые события, уменьшая количество ложноположительных срабатываний, улучшая качество триажа и повышая эффективность реагирования на инциденты.
• Интегрирован пакет фидов от Security Vision, с ежедневным обновлением в объеме около 50К IoC. Он доступен без подписки и без ограничения по количеству запросов через API или веб-интерфейс (в том числе и в ЛК заказчика). Данный пакет имеет ключевые и оперативные фиды, которые позволяют сразу применять всю функциональность TIP из коробки. В него также входят фиды из Банка данных угроз безопасности информации ФСТЭК России, НКЦКИ, ФинЦЕРТ, которые учитывают специфику атак и угроз для российского сегмента. Получая российскую экспертизу в виде данных фидов предоставляется возможность перехода с помощью TIP от ручного и реактивного подхода к проактивному, когда угрозы, актуальные для российского сегмента, автоматически обнаруживаются в вашей сети в кратчайшие сроки.
• Добавлена поддержка более десятка новых источников фидов. Новые источники данных киберразведки улучшают элементы анализа и обмена данными, совершенствуя общий пользовательский опыт эксплуатации TIP.
• Для принятия стратегических решений в продукте TIP много внимания уделяется работе с бюллетенями. Они помогают выявить тренды и спланировать стратегию защиты инфраструктуры, предоставляя оперативную информацию для аналитиков о новых угрозах с описанием индикаторов компрометации (хэши вредоносных файлов, подозрительные IP-адреса и домены, вредоносные URL-адреса), тактик, техник и процедур по методологии MITRE (т.е. как именно действует злоумышленник и что применяет для своих нелегитимных действий), оценки воздействия и рекомендации по реагированию. В продукте продолжает развиваться реализация автоматической интеграции и получения бюллетеней от отдельных поставщиков и агрегаторов. ML модели позволяют автоматически провести обработку бюллетеней и связку их с индикаторами конкретного обнаружения с возможностью просмотра из карточки инцидента или из графа расследования.
• Оптимизирован аналитический движок match для работы на больших потоках данных (от 100К EPS). Также в продукт добавлена возможность агентской схемы сбора данных с отдельныхвысоконагруженных серверов или серверов-коллекторов, что также оптимизирует обработку потоков данных.

Получение сертификата соответствия Минобороны РФ по НДВ-2

9 сентября 2025 года компания Security Vision сообщила о том, что в ИБ Low code/No code платформа Security Vision и все модули на её основе, включая Security Vision Threat Intelligence Platform, получили сертификат соответствия Министерства обороны РФ (№ 7564 от 28.08.2025) в системе сертификации средств защиты информации. Подробнее здесь.

2024

Интеграция с «Гарда Threat Intelligence»

Группа компаний «Гарда» и компания Security Vision 2 октября 2024 года сообщили об интеграции платформы Security Vision TIP и сервиса данных о киберугрозах «Гарда Threat Intelligence». Подробнее здесь.

Совместимость с NGFW «Континент 4»

Многофункциональный межсетевой экран (NGFW) «Континент 4» от компании «Код Безопасности» и продукты Security Vision Threat Intelligence Platform (TIP), User and Entity Behavior Analysis (UEBA), Security Orchestration, Automation and Response (SOAR) и Next Generation SOAR (NG SOAR) прошли всестороннее тестирование, в результате которого была подтверждена их совместимость. Об этом компания Security Vision сообщила 21 марта 2024 года. Подробнее здесь.

2023

Интеграция с F.A.C.C.T. Threat Intelligence

26 октября 2023 года компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступностью, и компания Security Vision, создатель российской ИТ-платформы, позволяющей роботизировать до 95% процессов обеспечения информационной безопасности, объявили о технологическом партнерстве. В рамках интеграции система киберразведки F.A.C.C.T. Threat Intelligence поставляет оперативные данные об атакующих в платформу киберразведки Security Vision, что позволяет противостоять актуальным киберугрозам и проактивно обнаруживать сложные целевые атаки с помощью постоянно обогащаемых индикаторов компрометации (IoC). Подробнее здесь.

Поддержка постоянной загрузки широкого спектра данных об угрозах. Добавление свыше 50 коннекторов

Компания Security Vision сообщила 6 апреля 2023 года о выходе релиза актуальной версии модуля Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой заказчика и средствами защиты, обеспечивает ситуационную осведомленность.

Пользователям доступно множество особенностей, среди которых:

Широкий стек интеграций (50+ коннекторов):

• Встроенная интеграция с коммерческими поставщиками фидов (Kaspersky, Group IB, BI.Zone, RST Cloud);
• Встроенная интеграция бесплатными поставщиками фидов (Alien Vault, Feodo Tracker, DigitalSide);
• Автоматическое обогащение индикаторов из внешних сервисов (VirusTotal, Shodan, KasperskyOpenTIP и других);
• Встроенная интеграция с основными SIEM-системами, системами NGFW, прокси-серверами, почтовыми серверами, системами очередей событий, а также настроен универсальный прием потока данных по стандартным форматам (Syslog, CEF, LEEF, EBLEM, Event log)
• Возможность оперативно доработать дополнительный коннектор.

Работа с индикаторами:

• Поддерживается постоянная загрузка широкого спектра данных об угрозах: индикаторы компрометации, индикаторы атаки (ключи реестра, процессы, JARM) и стратегические атрибуции угрозы (вредоносное ПО, злоумышленники, угрозы);
• Глубоко проработаны связи между разными уровнями индикаторов (например, индикатор компрометации => угроза => злоумышленник), что позволяет быстро выстроить полную картину потенциальной угрозы;
• Реализована система агрегации и дедупликации для поддержания актуальности и единообразия базы индикаторов;
• Предоставляется возможность просмотра исходного формата индикатора;
• Базы уязвимостей и бюллетеней предоставляют дополнительный контекст для анализа индикаторов.

Обнаружения:

• Реализовано несколько механизмов выявления подозрительной активности в инфраструктуре. В первую очередь, собственный движок обнаружений, который позволяет автоматически выполнять поиск индикаторов компрометации в потоке сырых событий от средств защиты и из инфраструктуры. Ретро-поиск дает возможность сопоставлять индикаторы компрометации с событиями, которые были ранее и хранятся в системе. Также реализован эвристический движок Domain Generation Algorithm (Алгоритм генерации доменов), который позволяет эффективно выявлять подозрительные доменные имена в инфраструктуре с помощью моделей машинного обучения;
• Широкий спектр действий над индикаторами компрометации дает возможность оперативно отреагировать на созданное обнаружение;
• Есть возможность создавать белые списки индикаторов для уменьшения количества ложных срабатываний.

Анализ:

• Внедрена система скоринга, которая позволяет оценить критичность индикатора (если таковую не предоставил поставщик) на основе собственной модели расчета;
• Применяется классификация индикаторов с помощью базы знаний техник MITRE ATT&CK и справочника OWASP, что позволяет выстроить цепочку взаимосвязей между потенциальными угрозами;
• Граф, как дополнительный инструмент анализа, позволяет визуально отследить выстроенные связи между сущностями и быстро перейти на карточку нужного объекта;
• Преднастроенные дашборды и отчеты помогают визуально оценить общую картину за необходимый период. В том числе реализована возможность выгрузить отчет по основным объектам напрямую с карточки объекта.

2022: Анонс Security Vision Threat Intelligence Platform

1 декабря 2022 года компания Security Vision объявила о выходе обновленной автоматизированной платформы Security Vision Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой Заказчика и средствами защиты, обеспечивает ситуационную осведомленность.

Security Vision Threat Intelligence Platform

По информации компании, Security Vision TIP взаимодействует со множеством других средств защиты информации, объектами инфраструктуры и внешними сервисами. Система обращается к поставщикам фидов и аналитическим сервисам за IoC, IoA, угрозами, информацией о злоумышленниках и вредоносном ПО, уязвимостями, бюллетенями. Информация о событиях для матчинга собирается из первичных источников (Web Proxy, Linux-сервер, Windows-сервер, NGFW), Data Lake и DB (Apache Kafka, PostgreSQL, MS SQL), SIEM, EDR и др. Данные об инцидентах и индикаторах могут в автоматическом или ручном режиме передаваться в SIEM, SOAR/IRP, NGFW и др. В программном продукте TIP от компании Security Vision разработан функционал, покрывающий потребности каждого уровня TI. Решение помогает искать признаки атак на основе поведенческих индикаторов и выстраивать в долгосрочной перспективе стратегию информационной безопасности предприятия с учетом актуальных угроз и рисков.

TIP базируется на единой платформе Security Vision. Заказчикам доступны все возможности платформы, в том числе широкие возможности кастомизации. Решение полностью параметрическое, и, чтобы создать коннектор, отчет или дашборд, не требуются услуги программиста: всё настраивается через пользовательский интерфейс с соответствующими административными правами.Александр Стихарёв, Shtab: Российскому рынку collaboration-систем не хватает экосистемности 16 т

Архитектура системы поддерживает полную отказоустойчивость всех компонент. Платформа не требует прямого доступа в Интернет, взаимодействие с поставщиками фидов и внешними аналитическими сервисами возможно через специальную выделенную компоненту, расположенную в сегменте DMZ.

Для всех компонент платформы поддерживается работа на любой из ОС: MS Windows, Ubuntu, CentOS, RedHat, Oracle Linux, Альт Линукс, Astra CE «Орел», Astra SE «Смоленск»/ «Воронеж»/«Орел». В качестве СУБД используются Postgre SQL, Postgre Pro или Microsoft SQL Server.

Security Vision TIP поддерживает загрузку неограниченного количества разнообразных TI-источников (фидов). В базовой поставке уже реализована интеграция с наиболее популярными сервисами, предоставляющими различные индикаторы компрометации.

В Security Vision TIP реализованы следующие механизмы получения событий для обнаружения подозрительной активности: прием потока данных по TCP/UDP; обращение к API внешних систем; получение событий из очереди (Kafka, RabbitMQ); выполнение запросов в БД/DataLake.

В Security Vision TIP используется собственный движок оптимизированного мэтчинга, который позволяет выполнять обнаружения на больших потоках данных с базой IoC.

Полезная функция TIP Security Vision — ретро-поиск. Система в оптимизированном виде хранит данные, полученные из смежных систем за большой период времени (например, за месяц или квартал — задается настройкой в системе), и индикаторы компрометации сопоставляются с событиями, которые были в прошлом. Таким образом, можно увидеть, какие объекты внутренней инфраструктуры подвергались опасности до того, как появилась информация об угрозе.

Важной функциональностью Security Vision TIP является эвристический движок, который с помощью различных ML-моделей позволяет автоматически выявлять в инфраструктуре Заказчика подозрительные доменные имена или URL, сгенерированные с использованием Domain Generation Algorithm (DGA) или мимикрирующие под общеизвестные домены.

Для обнаружений в системе реализован жизненный цикл, по которому каждое обнаружение проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. Например, при создании или изменении обнаружения все «сработавшие» индикаторы автоматически обогащаются из внешних аналитических сервисов, а по всем участвующим активам собирается информация из внутренней инфраструктуры. Пользователь при начале работы с обнаружением сразу получает полную информацию по инциденту и задействованной инфраструктуре. Пока обнаружение не закрыто, в него автоматически добавляется и агрегируется вся информация, выявленная по «сработкам», проводится дедупликация данных.

В Security Vision TIP реализована интеграция с наиболее известными поставщиками и базами уязвимостей, например: NVD NIST, БДУ ФСТЭК, НКЦКИ, Group IB, Kaspersky.

Реализована работа с бюллетенями — документами, выпускаемыми разово или периодически и содержащими результаты исследований аналитического центра по отдельной проблеме/угрозе/атаке/группировке и пр. или сводную информацию за определенный период.

Функционал Security Vision TIP обеспечивает работу с базой знаний техник MITRE ATT&CK, автоматическую поддержку её в актуальном состоянии по всем основным разделам.

Стратегический уровень управления информационной безопасностью представлен в TIP от Security Vision механизмом атрибуции таких типов данных, как злоумышленники, вредоносное программное обеспечение и угрозы.

По всем индикаторам, выявленным обнаружениям и изменению их статуса и жизненных циклов пользователи платформы Security Vision TIP могут получать оповещения с указанием деталей объекта, его изменений, а также ссылки на карточку объекта.

Решение поддерживает ролевую модель, когда пользователю в зависимости от назначенной роли доступен тот или иной функционал системы, а также ограниченный доступ к данным и действиям.