О продукте


Threat Detection System (TDS) – комплексное решение, предназначенное для выявления целенаправленных атак и неизвестных угроз, охоты за угрозами как внутри защищаемого периметра, так и за его пределами, реагирования на инциденты и их расследования.

 

Для выявления угроз используются следующие технические подходы

  • Глубокий анализ сетевого трафика для выявления аномалий и вредоносного трафика;
  • Поведенческий анализ файлов и ссылок в изолированных песочницах;
  • Выявление аномалий в поведении пользователей и программ на компьютерах;
  • Автоматизированная охота за неизвестными угрозами;
  • Проверка индикаторов, полученных от Threat Intelligence;
  • Корреляция событий, собираемых комплексом TDS.

 

Технологии, используемые TDS, позволяют эффективно детектировать угрозы на различных фазах ATT&CK Matrix

  • Угрозы нулевого дня;
  • Эксплойты, трояны, бэкдоры, вредоносные скрипты под десктопные, серверные и мобильные платформы;
  • Скрытые каналы передачи данных;
  • Бестелесные угрозы;
  • Атаки с использование легитимных инструментов (living-off-the-land).

 

Архитектурно решение состоит из следующих основных модулей

  • TDS Sensor – модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне.
  • Центр оркестрации. Обязательный элемент системы. По умолчанию используется удаленный центр SOC Group-IB, но может быть развернут внутренний ЦУ в виде Huntbox – единая система управления детектирующей инфраструктурой, автоматизированного анализа, корреляции событий и обеспечения процесса охоты за угрозами.
  • TDS Polygon – модуль для запуска файлов, ссылок и их динамического анализа, для выявления известных и неизвестных угроз в изолированной среде.
  • TDS Endpoint – агент для обнаружения угроз на хосте, фиксации полной хронологии событий на системе, блокировки аномального и поведения, изоляции хоста, сбора криминалистически значимых данных.
  • TDS Decryptor – дополнительный компонент, используемый для расшифровки SSL/TLS трафика в защищаемой инфраструктуре.