Iris Intelligence Platform

O produkcie
1. Iris Investigate / Iris Intelligence Platform
Moduł do zaawansowanej analizy zagrożeń opartych o dane domenowe. Umożliwia śledzenie powiązań między domenami, adresami IP, serwerami DNS i innymi artefaktami. Dzięki technikom pivotowania i scoringowi ryzyka pozwala wykrywać złośliwe infrastruktur C2, analizować kampanie phishingowe i przypisywać zagrożenia do konkretnych aktorów. Wspiera ręczne dochodzenia i threat hunting.
Funkcje:
a) Pivoting: Przemieszczanie się między powiązanymi artefaktami (np. domeny, adresy IP, NS, WHOIS).
b) Machine Learning: Wykrywanie złośliwych wzorców w infrastrukturze domenowej.
c) Case Management: Możliwość tworzenia, zapisywania i udostępniania śledztw.
d) Contextual Intelligence: Analiza kontekstowa (reputacja domen, historia rejestracji, zmiany DNS, związki z malware).
Zastosowania:
a) Threat hunting
b) Incident response
c) Attribution (powiązanie ataków z aktorami zagrożeń)
d) Proaktywna analiza infrastruktur C2
Integracja z:
a) SIEM (logowanie wykryć jako zdarzenia)
b) Systemy ticketowe / alertowe (np. Jira, Slack)
Iris Detect
Moduł do monitorowania nowych i podejrzanych domen zorientowany na ochronę marki i prewencję zagrożeń. Automatycznie wykrywa domeny podobne do znanych nazw (typosquatting, homografy), zanim zostaną aktywowane w atakach. Zapewnia ciągły monitoring i alertowanie zespołów bezpieczeństwa. Pomaga zapobiegać phishingowi, spoofingowi oraz utracie reputacji.
Funkcje:
a) Typosquatting Detection: Identyfikacja domen podobnych do znanych marek.
b) Lookalike Domains: Wykrywanie domen wykorzystujących znaki podobne wizualnie (homografy).
c) Monitoring & Alerts: Ciągły monitoring nowych rejestracji i alertowanie o zagrożeniach.
d) Risk Scoring: Ocena ryzyka domen w oparciu o heurystyki i AI.
Zastosowania:
a) Ochrona marki (brand protection) poprzez tworzenie alertów o nowych domenach podobnych do infrastruktury Organizacji.
b) Prewencja phishingu w oparciu o generowanie IOC na etapie rejestracji, zanim domeny zostaną aktywowane.
c) Pozwala na natychmiastową rejestrację domen defensywnych (defensive registration).
Integracja z:
a) SIEM (logowanie wykryć jako zdarzenia)
b) Systemy ticketowe / alertowe (np. Jira, Slack)
Iris Enrich
API do błyskawicznego wzbogacania danych IOC w procesach automatyzacji (SOAR, SIEM, TIP). Dostarcza informacje o reputacji, historii WHOIS, DNS, SSL, ASN i złośliwych powiązaniach domen. Pozwala skrócić czas reakcji przez automatyczny triage i kontekstualną analizę alertów. Kluczowy komponent do integracji danych w ekosystemie bezpieczeństwa organizacji.
Funkcje:
a) API-based enrichment: Integracja z systemami bezpieczeństwa (Splunk, Cortex XSOAR itp.).
b) Dane WHOIS, DNS, SSL, riski: Automatyczne dołączanie pełnych danych o domenie.
c) Reputacja & Ryzyko: Wskazania, czy domena jest powiązana z malware, phishingiem, botnetami.
Zastosowania:
a) Automatyczne tagowanie alertów jako „zaufane” lub „podejrzane”.
b) Wzbogaca IOC (domeny, IP) o dane WHOIS, DNS, SSL, reputację, score ryzyka.
c) Skraca czas MTTR (Mean Time to Respond) przez kontekst i scoring.
Integracja z:
a) SIEM (np. Splunk, QRadar, Elastic)
b) SOAR (np. Cortex XSOAR, Cortex XSIAM)
c) TIP (Threat Intelligence Platforms, np. ThreatConnect, MISP)