Аналитику угроз можно разбить на четыре категории. Используйте их, чтобы определить, какие пользователи должны получать ту или иную информацию:
Стратегическая
Стратегическая аналитика угроз — это высокоуровневая аналитика для заинтересованных лиц бизнеса в целом, таких как высшее руководство компании, ИТ-управление и советы директоров. Такую информацию следует доносить в широком контексте и с учетом долгосрочной перспективы. Эти аудитории должны управлять общими рисками, такими как изменение общего ландшафта угроз, принятие бизнес-решений, которые могут привести к появлению новых уязвимостей, использование передовых технологий для устранения угроз с меньшими затратами и потенциальные финансовые и операционные последствия нарушений безопасности.
Тактическая
Тактическая аналитика угроз необходима экспертам по информационной кибербезопасности, чтобы предпринять немедленные действия для устранения угроз. Она включает технические сведения об актуальных тенденциях TTP и IOC и обычно используется руководителями ИТ-служб, сотрудниками центров SOC и архитекторами. Используйте этот тип аналитики для принятия решений о средствах контроля безопасности и создания упреждающих стратегий защиты. Такая информация всегда находится в потоке, и ее можно автоматизировать, чтобы обеспечить максимальную гибкость для групп безопасности.
Операционная
Операционная аналитика угроз — это знание определенных угроз и кампаний. Эта аналитика предоставляет специальную информацию об идентификации, мотивах и методах злоумышленников для групп реагирования на инциденты. С помощью платформы аналитики киберугроз, которая автоматизирует сбор данных, при необходимости выполняя перевод источников на внешних языках, специалисты по безопасности в организации могут более эффективно получать такой тип аналитики.
Техническая
Технические аналитика угроз тесно связана с операционной аналитикой и использует признаки атаки, такие как индикаторы компрометации. Используйте платформу аналитики угроз с ИИ для автоматической проверки этих типов известных индикаторов, которые могут включать фишинговое содержимое электронной почты, вредоносные IP-адреса или конкретные реализации вредоносных программ. Центры информационной безопасности и группы реагирования на инциденты могут быстро реагировать на эту информацию и предотвращать ущерб вашей компании.
Следите за новостями Microsoft Security