Ankey ASAP
Ankey ASAP - программный комплекс расширенной аналитики событий и инцидентов информационной безопасности с функциями поведенческого анализа (UEBA).
Поведенческая аналитика
- Детектирование подозрений на инциденты методами UEBA и ML.
- Выявление аномалий в инфраструктуре. Обнаружение эксплойтов уязвимостей нулевого дня, APT-угроз, LotL-атак и др.
- Распознание атаки в начале её жизненного цикла.
Инструменты расследования
- Разметка событий информационной безопасности на матрицы MITRE ATT&CK, БДУ ФСТЭК и цепочку Kill Chain.
- Проведение интегральной оценки поведения объекта и агрегации подозрительных действий в таймлайн.
- Сводная информация для проведения визуальной аналитики в SOC
Для программного комплекса «Ankey ASAP» поставщиками данных могут быть разные системы. Например, SIEM, EDR, XDR, IDC, NTA, DLP и т.д. Ankey ASAP не требует строгого соответствия средств защиты информации одной экосистеме и работает с различными источниками. В качестве дополнительных источников используются нормативно-справочные и плановые данные: конфигурация ИТ-инфраструктуры, системы инвентаризации и оценки защищенности, а также информация по объектам из AD.
Архитектура Ankey ASAP включает в себя следующую функциональность:
- Сбор и предобработка данных,
- Фильтрация и обогащение данных,
- Анализ событий, создание базовых линий поведения,
- Оценка поведения объектов анализа,
- Выявление цепочек атак и регистрация инцидентов.
- ПК «Ankey ASAP» предназначен для:
- обнаружения и оценки отклонений в поведении пользователей или объектов посредством применения методов машинного обучения;
- формирования аналитического контента современными методами расширенной аналитики;
- предоставления визуального инструментария ИБ-специалистам для выявления признаков, расследования и сбора цифровых доказательств инцидентов ИБ.