Durch den Zugriff auf die Threat Intelligence von Kaspersky über Microsoft Sentinel [1] erhalten Unternehmen die neuesten Informationen zur Bekämpfung von Cyberangriffen. Die Feeds umfassen Bedrohungsnamen, Zeitstempel, Geolocation, feste IP-Adressen von infizierten Webressourcen, Hashes, häufig genutzte Recherchefälle und andere oft genutzte Suchbegriffe. Mit diesen Daten können Sicherheitsteams oder SOC-Analysten die anfängliche Alarmtriage beschleunigen, indem sie fundierte Entscheidungen zur Untersuchung oder Eskalation an ein Incident Response Team treffen.

Kaspersky Threat Data Feeds werden automatisch und in Echtzeit generiert und fassen qualitative Daten aus verschiedenen seriösen Quellen weltweit zusammen. Dazu gehören das Kaspersky Security Network, zu dem Millionen freiwilliger Teilnehmern auf der ganzen Welt gehören, der Botnet Monitoring Service, Spam-Traps sowie die weltweit anerkannten Kaspersky-Experten des Global Research and Analysis Teams (GReAT) und des R&D-Teams. Alle Daten werden sorgfältig geprüft und durch dedizierte Vorverarbeitungstechniken verfeinert.

Microsoft Sentinel verwendet das TAXII-Protokoll und empfängt Datenfeeds im STIX-Format, so dass Kaspersky Threat Data Feeds als TAXII-Threat-Intelligence-Quelle in der Schnittstelle konfiguriert werden können. Nach dem Import haben Cybersecurity-Teams die Möglichkeit, sofort einsetzbare Analyseregeln zu nutzen, um Bedrohungsindikatoren aus Feeds mit ihren Protokollen abzugleichen.

dr

[1] https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/bring-threat-intelligence-from-kaspersky-using-taxii-data/ba-p/3589012