ASGARD
Analysis Cockpit
تحلیل و خط مبنای بهینهشده
پیکربندی، زمانبندی و کنترل اسکنها بر روی حداکثر ۲۵,۰۰۰ نقطه پایانی در هر Instance امکانپذیر است. ASGARD Management Center همچنین قابلیت مدیریت IOC و بسیاری از عملکردهای پاسخدهی را ارائه میدهد.
این آنالیز (Analysis Cockpit) بهترین مکان برای تحلیل لاگهای THOR است. این ابزار به شما دید کاملی از تمامی تطابقهای IOC، لاگها و گزارشهای سندباکس ارائه میدهد. همچنین به شما امکان میدهد خطمبناها را تعریف کرده و تغییرات امنیتی مرتبط در محیط خود را شناسایی کنید.
Analysis Cockpit دارای یک سیستم مدیریت موارد (Case Management) یکپارچه و بسیار قابل پیکربندی است که به چندین تحلیلگر اجازه میدهد تا بهصورت همزمان روی یک تحقیق همکاری کنند و در عین حال اطمینان حاصل شود که جریان کار بهدرستی پیش میرود.
مانند ASGARD Management Center، Analysis Cockpit نیز دارای مجموعهای غنی از APIها است که امکان اتصال به سیستمهای تیکتینگ سازمانی، سندباکسها، CMDBها، سیستمهای SOAR، پلتفرمهای تهدیدشناسی و تقریباً هر دستگاه امنیتی موجود را فراهم میکند.
بخش Baselining
بخش Baselining شامل تمام تطابقهای IOC است که بخشی از یک خطمبنای موجود نیستند – به عبارت دیگر: لاگهایی که نیاز به بررسی دارند. ابزارهای قدرتمند بصریسازی، فیلترگذاری و ابزارهای یکپارچه مانند Auto Grouping به شما کمک میکنند تا تطابقهای خود را تحلیل، دستهبندی و یک خطمبنای جدید تعریف کنید.
با استفاده از قابلیت “Auto Cases” میتوانید تنها با یک کلیک خطمبنای خود را تنظیم کنید – تمامی تطابقها در گروههای معنادار ذخیره میشوند و در بخش مدیریت موارد (Case Management) برای تحلیلهای بیشتر در دسترس خواهند بود.
مدیریت پرونده یکپارچه
سیستم مدیریت موارد (Case Management) یکپارچه، رابط کاربری سادهای ارائه میدهد که به چندین تحلیلگر امکان همکاری بر روی یک مجموعه از تطابقهای IOC را میدهد. این سیستم بسیار قابل تنظیم است و از جریانهای کاری سفارشی برای گروههای مختلف تحلیلگر پشتیبانی میکند.
مدل تحلیلگر دو سطحی داخلی به راحتی قابل گسترش است تا از یک مرکز عملیات امنیتی چندسطحی و Follow-the-Sun SOC پشتیبانی کند.
به جای استفاده از سیستم مدیریت موارد داخلی Cockpit، سازمانها میتوانند از مجموعه غنی APIهای Cockpit برای مدیریت موارد در سیستمهای تیکتینگ موجود، پلتفرمهای SOAR یا ابزارهایی مانند The Hive استفاده کنند.
API های قدررتمند
بخش Baselining شامل تمام تطابقهای IOC است که بخشی از یک خطمبنای موجود نیستند – به عبارت دیگر: لاگهایی که نیاز به بررسی دارند. ابزارهای قدرتمند بصریسازی، فیلترگذاری و ابزارهای یکپارچه مانند Auto Grouping به شما کمک میکنند تا تطابقهای خود را تحلیل، دستهبندی و یک خطمبنای جدید تعریف کنید.
با استفاده از قابلیت “Auto Cases” میتوانید تنها با یک کلیک خطمبنای خود را تنظیم کنید – تمامی تطابقها در گروههای معنادار ذخیره میشوند و در بخش مدیریت موارد (Case Management) برای تحلیلهای بیشتر در دسترس خواهند بود.
Sandbox Integration
نمونههایی که توسط THOR یا ASGARD جمعآوری شدهاند، در Analysis Cockpit ذخیره میشوند تا برای تحقیقات بیشتر مورد استفاده قرار گیرند.
هنگامی که یک سندباکس به Analysis Cockpit متصل شود، تمامی نمونهها بهطور خودکار به سندباکس ارسال شده و گزارشها بهصورت خودکار دریافت میشوند.
این آنالیز (Analysis Cockpit) به صورت پیشفرض برای Cuckoo Sandbox پیکربندی شده است و دارای یک API ساده و کاربردی است که امکان اتصال به سندباکسهای دیگر را فراهم میکند. همچنین امکان اتصال به چندین سندباکس بهصورت همزمان نیز وجود دارد.
بخش گزارشگری غنی
بخش گزارشدهی (Reporting) شامل گزارشهای داخلی متعددی درباره تطابقهای IOC و فعالیتهای مدیریت موارد (Case Management) است. این گزارشها آمار کلی درباره تمام فعالیتها و رویدادهای داخل Cockpit ارائه میدهند، به شناسایی حرکات جانبی و تهدیدات پنهان کمک میکنند و همچنین با ارائه شاخصهای عملکرد کلیدی (KPIs) برای جریان کاری اجراشده، به بهبود سازمان شما کمک میکنند.
علاوه بر این، امکان تعریف و زمانبندی گزارشهای سفارشی وجود دارد. همچنین، موتورهای گزارشدهی خارجی میتوانند با استفاده از صادرات زمانبندیشده دادههای گزارش خام به Cockpit متصل شوند