Alert triage 24/7
Любой алерт EDR/SIEM/Email с прикреплённым файлом — автоматически разобран и закрыт или эскалирован за секунды.
Endpoint · SOC Automation
·
Genetic Code Analysis
ДНК-анализ кода
превращает SOC L1 в автомат.
Intezer разбирает каждый исполняемый файл на тысячи «генов» кода и сравнивает с базой 40+ млрд фрагментов известного ПО — легитимного и вредоносного. Платформа автоматически отвечает: malware, trusted или suspicious, давая полную атрибуцию к семейству и связкам с APT.
Как работает Genetic Analysis
Любая программа — это
композиция переиспользованного кода.
Авторы malware не пишут с нуля: они переиспользуют loader, crypter, syscall-stubs из открытых тулзовых наборов. Intezer находит эти фрагменты.
01
Дизассемблирование
Любой PE, ELF, Mach-O, .NET, Java, скрипт. Intezer разбирает бинарь на функции, а функции — на blocks.
02
Извлечение «генов»
Каждый блок становится «геном» — нормализованным фрагментом кода. Для среднего образца — 200–2 000 генов.
03
Сравнение с базой
40+ млрд генов из тысяч известных семейств malware и легитимных вендоров. Поиск занимает 1–10 секунд.
04
Вердикт + атрибуция
Семейство, фрагменты кода, ссылки на APT-кампании, готовая YARA-правила, exec-флоу, IOCs.
Сигнатура / IOC
«Это тот же hash?»
Любое изменение compile time или одного байта — и сигнатура не срабатывает. Авторы malware пересобирают семпл ежедневно.
- Хрупкая к перекомпиляции и repack’у
- Требует образец «в чистом виде»
- Нет понимания family и authorship
Genetic Analysis
«Это тот же код?»
Сравнивается не hash, а семантика блоков. Перекомпиляция не сбивает: 90% генов остаются прежними.
- Атрибуция к конкретному семейству и автору
- Работает даже с packers и obfuscation
- Генерирует YARA-правила автоматически
Autonomous SOC
Сделайте каждому L1-аналитику ускоритель в 10×.
Intezer Autonomous SOC автоматически вытаскивает образцы из ваших EDR/SIEM/Email алертов, прогоняет через Genetic Analysis, выносит вердикт и закрывает или эскалирует кейс.
- Триаж 100% алертов — 24/7, без отпусков и больничных.
- Среднее время на алерт ↓ с 30 минут до 12 секунд.
- 95% true-positive precision по статистике клиентов Intezer.
- Готовые playbooks для CrowdStrike, SentinelOne, Defender.
Live alert triage
last 1 min
12:04:11
Trusted
CrowdStrike alert · suspicious.exe · WS-FIN-014
Auto-analysis · 2.1s
12:04:08
Malicious
Defender alert · invoice.dll · DESKTOP-1142
Family: BumbleBee loader · isolate host
12:04:02
Trusted
SentinelOne alert · update_8.7.bin · SRV-DEV-04
Genetic match: Notepad++ · false positive
12:03:56
Suspicious
Splunk alert · unusual PowerShell · WS-MKT-007
Memory scan triggered, awaiting result
12:03:43
Malicious
Email Security · attachment.iso · finance@
Family: QakBot loader · block + sandbox URL
487
алертов / сутки
98%
auto-resolved
12s
средн. время
9
эскалаций L2
Интеграции
Подключается за час к стеку, который у вас уже есть.
Intezer не требует замены EDR или SIEM. Подключается через готовые коннекторы и работает поверх вашей телеметрии.
Endpoint Detection & Response
CrowdStrike Falcon
SentinelOne
Microsoft Defender
Sophos Intercept X
VMware Carbon Black
SIEM & SOAR
Splunk
Microsoft Sentinel
Cortex XSOAR
Splunk SOAR
Tines
Email · Ticketing · Chat
Proofpoint
Mimecast
ServiceNow
JIRA
Slack · Teams
+ Открытое REST API и Python SDK для своих интеграций. Готовые connectors для Microsoft Azure Logic Apps.
Сценарии применения
Где Intezer ставит в плюс уже на первой неделе.
Memory forensics
Intezer Endpoint Scanner делает дамп памяти и находит fileless-имплантанты, hollowing, process injection.
Threat hunting по семействам
«Найди все хосты, на которых был замечен код, похожий на BumbleBee» — Intezer ищет по генам по всей среде.
Auto-YARA generation
На основе обнаруженных уникальных генов Intezer создаёт YARA-правило, готовое к публикации в SIEM или EDR.
Phishing email forensics
Анализ вложений и payload, выявление кампаний и связки с APT-группой по семейству loader.
Supply chain scanning
Проверка нового вендорского ПО перед закупкой: какие компоненты в нём, есть ли совпадения с известными loader.
CYBER BOOST × Intezer
Intezer в регионе — через CYBER BOOST.
Поставка лицензий, помощь с интеграцией в существующий стек EDR/SIEM, написание playbooks для триажа, обучение L1- и L2-аналитиков.
3 дн
типовой PoC: подключение к EDR, триаж 100 алертов, разбор результатов.
90 %
алертов закрывается автоматически у клиентов уровня L1.
RU/EN
playbooks и обучение аналитиков на двух языках.
Cloud / On-prem
поддерживаем оба варианта развёртывания и air-gapped установки.
FAQ
Частые вопросы об Intezer.
Что такое Genetic Malware Analysis?
Genetic Malware Analysis — авторская технология Intezer: дизассемблирует исполняемый код, разбивает его на «гены» (small reusable code fragments) и сравнивает с базой 40+ млрд генов известного ПО — легитимного и вредоносного. Это позволяет атрибутировать новый файл к конкретному семейству или к доверенному вендору без сигнатур.
Заменяет ли Intezer наш EDR?
Нет. Intezer работает поверх EDR (CrowdStrike, SentinelOne, Microsoft Defender, Sophos и др.), SIEM и Email Security. Платформа автоматически проверяет каждый алерт и решает: malware / clean / suspicious, экономя 60–90% времени аналитиков L1.
Можно ли использовать Intezer для memory forensics?
Да. Intezer Endpoint Scanner делает дамп памяти запущенных процессов и анализирует его генетически — обнаруживает fileless-имплантанты, packers, инжекты, hollowing, которые не видны на диске.
Какие интеграции есть из коробки?
CrowdStrike Falcon, SentinelOne, Microsoft Defender, Sophos Intercept X, Splunk, Microsoft Sentinel, Splunk SOAR, Cortex XSOAR, Tines, Slack, Microsoft Teams, ServiceNow, JIRA. Также есть REST API и Python SDK для своих интеграций.
Как Intezer работает с приватными данными?
По умолчанию платформа cloud-based, но образцы можно отправлять в режиме private (без публикации в community). Для регулируемых индустрий доступен on-prem / air-gapped вариант — обсудим под ваш контур.
Какие форматы файлов поддерживаются?
Windows PE/PE32+, .NET assemblies, Linux ELF, macOS Mach-O, Android APK, скрипты (PowerShell, JS, VBA, Python), офисные документы с макросами, ISO/IMG-контейнеры. Анализ выполняется и в статике, и в динамике (sandbox).
Заявка · Intezer
PoC за 3 дня. Без интеграций с боевой телеметрией.
Возьмём 100 ваших образцов и алертов, прогоним через Intezer и покажем отчёт: сколько закрывается автоматически, сколько идёт в эскалацию, как меняется среднее время на алерт.
EMAIL
info@cyberboost.uz
ТЕЛЕФОН
+998 90 925 41 68