Whisper

Что такое Whisper?

Whisper — это платформа интеллекта инфраструктуры для команд безопасности, которая отображает инфраструктуру интернета в единый запрашиваемый граф. Она связывает сущности, такие как IP, домены, сертификаты, ASN и пути маршрутизации, чтобы аналитики могли исследовать взаимосвязи компонентов интернета и их изменения во времени.

Платформа предназначена для более быстрого ответа на вопросы об инфраструктуре по сравнению с исследованием по разрозненным источникам. Она непрерывно поглощает данные крупного масштаба и предоставляет их через граф и интерфейс запросов для рабочих процессов расследования и исследований с помощью ИИ.

Ключевые возможности

• Единый граф знаний инфраструктуры: Один граф знаний связывает информацию об IP, доменах, сертификатах, ASN и путях маршрутизации, вместо хранения данных DNS, маршрутизации и владения в отдельных силосах.
• Запросы на основе графа: Платформа поддерживает прямые запросы к графу (называемые «Cypher queries»), возвращающие результаты за миллисекунды.
• Обогащение из множества источников в одной схеме: DNS, BGP, WHOIS, GeoIP, DNSSEC, SPF policy и репутация представлены в одной схеме для снижения ручного перекрестного сопоставления.
• Широкое покрытие источников и непрерывно обновляемое картирование: Страница описывает картирование в реальном времени в масштабе, включая постоянно обновляемый граф.
• Множество путей доступа: Пользователи могут запрашивать через API, использовать нативные коннекторы для обогащения существующих платформ или предоставить доступ ИИ-агентам через MCP (Model Context Protocol) для рабочих процессов расследования.
• Предопределенные вопросы в стиле расследования: Примеры включают отслеживание изменений маршрутизации, сигналы общей инфраструктуры (например, nameservers и registrants) и сигналы репутации из нескольких источников угроз.

Как использовать Whisper

1. Изучите платформу или запросите демо, чтобы увидеть граф и рабочий процесс запросов.
2. Подключите свои инструменты, выбрав один метод доступа: запросы API, нативные коннекторы для вашего стека или доступ MCP для ИИ-агентов.
3. Выполните целевые запросы к графу, чтобы получить контекст инфраструктуры, такой как владение, контекст хостинга, поведение маршрутизации и исторические изменения.
4. Используйте результаты для вывода расследования — например, пусть ИИ-агент сгенерирует отчет расследования на основе контекста инфраструктуры из графа.

Сценарии использования

• Мгновенное обогащение оповещений: Когда оповещение срабатывает на IP, Whisper может показать связанное владение, другие сервисы на этом хосте, историю злоупотреблений ASN и изменения за недавний период (страница приводит пример «за последние 30 дней»), до открытия тикета аналитиком.
• Картирование инфраструктуры противника: Начиная с одного C2-домена, команды могут отследить связанную инфраструктуру, такую как общие nameservers, пересекающиеся registrants, миграции ASN и паттерны хостинга, чтобы нанести на карту всю кампанию.
• Контекст расследования off-chain: Для потоков криптовалюты команды могут отследить от точки выхода кастодиана, чтобы увидеть инфраструктуру за ней, включая контекст хостинга, DNS, BGP-маршрутизацию и историю владения.
• Картирование внешней поверхности атаки: Команды могут выявить домены, поддомены, IP и ASN, связанные с организацией, чтобы найти инфраструктуру вроде staging-систем, тестовых поддоменов, все еще указывающих на выведенные из эксплуатации хосты, и теневую инфраструктуру.
• Отслеживание compliance и takedown: Для списка доменов от регулятора Whisper можно использовать, чтобы определить, были ли эти домены когда-либо на инфраструктуре организации, и куда они переместились со временем.

FAQ

• Какие виды интернет-данных связывает Whisper? Страница описывает связи между сущностями вроде IP, доменов, сертификатов, ASN и путей маршрутизации, а также обогащение, включая DNS, BGP, WHOIS, GeoIP, DNSSEC, SPF policy и репутацию.

• Как пользователи получают доступ к графу? Whisper поддерживает доступ через прямые запросы API, нативные коннекторы для существующих платформ и MCP, чтобы ИИ-агенты могли получать контекст инфраструктуры.

• Насколько быстрые запросы? Страница указывает, что примеры живых запросов к графу Whisper возвращаются за миллисекунды.

• Может ли Whisper помочь с отчетами расследования, генерируемыми ИИ? Страница описывает рабочий процесс с помощью ИИ, где ИИ-агент использует MCP для доступа к контексту инфраструктуры и пишет отчет расследования, включая владение, контекст хостинга, скоринг рисков и исторические изменения.

• Whisper развертывается только в облаке? Страница указывает, что Whisper доступен как облачный хостинг или on-prem развертывание.

Альтернативы

• Стэки обогащения безопасности из нескольких API: Многие команды собирают отдельные сервисы DNS/роутинга/WHOIS/GeoIP/репутации. В сравнении с Whisper эти подходы часто требуют ручной корреляции и отдельных рабочих процессов вместо одного графа и одного языка запросов.
• Решения графовых баз данных для threat intelligence: Универсальные графовые базы данных могут моделировать связи, но они не предоставляют встроенного картирования инфраструктуры интернета и агрегации фидов, описанных на странице Whisper.
• Платформы репутации доменов/ASN: Инструменты, сосредоточенные в основном на репутации и поиске индикаторов, могут поддерживать части рабочего процесса, но они могут не раскрывать сквозные связи инфраструктуры (например, изменения роутинга и межуровневые соединения) в виде единого запрашиваемого графа.
• Обогащение threat intel через коннекторы SIEM/SOAR: Обогащение на базе SIEM/SOAR может помочь автоматизировать получение контекста, но альтернатива остается привязанной к тем сигналам, которые уже есть в этих системах, а не к единому графу инфраструктуры, предназначенному для исследовательских поворотов.