È disponibile la nuova release 6.4.0 di IntelOwl, frutto di un percorso di evoluzione continua volto a rendere sempre più efficaci, strutturate e integrate le attività di Threat Intelligence e le operazioni del Security Operation Team di Certego.
Questa versione introduce nuove funzionalità chiave che rappresentano un importante passo avanti nella capacità della piattaforma di supportare gli analisti nella valutazione, correlazione e gestione degli indicatori di compromissione.
1. Analyzable: riferimento unico per ogni oggetto analizzato
Con la versione 6.4.0, la funzionalità Analyzable introduce una rappresentazione unificata dell’oggetto analizzato — che si tratti di un osservabile (come un IP, dominio, hash) o di un campione (sample). Ora, ogni job di analisi è direttamente associato al relativo Analyzable, rendendo possibile collegare più report di analisi a un unico oggetto. Questo approccio consente una visione più completa e strutturata della cronologia analitica di un osservabile, semplificando la consultazione dei risultati e la loro correlazione nel tempo.
2. Data Models: standardizzazione avanzata per l’interoperabilità degli output
Ogni analyzer in IntelOwl produce risultati strutturalmente diversi, riflettendo le specificità degli strumenti e delle tecniche utilizzate. Sebbene questa flessibilità sia necessaria, confrontare in modo sistematico un’informazione ricorrente tra più analyzer poteva richiedere un’analisi manuale e frammentata da parte dell’utente. La versione 6.4.0 introduce il nuovo sistema dei Data Models, che consente di mappare i dati rilevanti generati dagli analyzer all’interno di uno schema strutturato e condiviso. Questo approccio riduce la necessità di interpretazioni manuali e favorisce una lettura più rapida, omogenea e comparabile delle informazioni critiche.
3. User Events: valutazioni personalizzate a supporto dell’analisi
La versione 6.4.0 introduce un aggiornamento che consente agli utenti di associare manualmente valutazioni e osservazioni personalizzate a un analyzable, tramite gli User Events. Questa funzionalità permette, ad esempio, di registrare che un dominio analizzato (es. google.com) è ritenuto lecito con un elevato livello di confidenza. Le annotazioni vengono così strutturate in modo coerente all’interno della piattaforma, arricchendo il contesto analitico con informazioni qualitative generate dagli analisti stessi. In questo modo, IntelOwl integra la conoscenza umana con i dati tecnici, favorendo una gestione collaborativa e condivisa degli osservabili.
4. Engine: sintesi automatica tra dati tecnici e input umani
L’Engine aggiornato ha il compito di combinare in modo intelligente i dati provenienti dagli analyzer con i contributi degli analisti (tramite User Events), fornendo una valutazione aggregata per ogni job. Il risultato è un’indicazione più completa, utile per indirizzare rapidamente l’attenzione sugli elementi più rilevanti.
IntelOwl è integrata nativamente con la piattaforma di Unified Security Operations PanOptikon, costituendo uno strumento fondamentale per gli analisti di Certego. Grazie a questa integrazione, gli analisti possono contare su un sistema di Threat Intelligence ad alta precisione e affidabilità, che consente di:
- monitorare e validare in tempo reale gli indicatori di compromissione (IOC);
- svolgere analisi approfondite su domini, file, IP, hash e altri osservabili;
- correlare evidenze tecniche e conoscenze umane in un unico flusso operativo integrato.
IntelOwl 6.4.0 potenzia ulteriormente la capacità di Certego di rispondere con tempestività e precisione agli attacchi informatici, rafforzando il presidio continuo contro le minacce avanzate.
