Поиск
Security Vision SOAR
Обзор продукта
Security Vision SOAR снижает влияние человеческого фактора, повышает скорость реакции на инциденты, выстраивает проактивную защиту в соответствии с международными стандартами информационной безопасности.
Решение агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST с предоставлением экспертных рекомендаций на различных этапах управления инцидентами.
Подробнее
Модуль управления инцидентами выстраивает гибкий процесс обработки инцидентов при помощи динамических сценариев реагирования и построением цепочки атаки (kill chain) по методологии NIST. Решение осуществляет регистрацию алертов и событий ИБ (в ручном или автоматическом режиме), сбор событий в окрестности инцидента (при необходимости) и автоматизацию действий (классификацию с использованием базы техник и тактик MITRE ATT&CK, обогащение данными из внешних ИТ- и ИБ-систем, управляющие воздействия) с целью нейтрализации инцидентов и их последствий.
Основной функционал:
Логика обработки карточек инцидентов строится в графическом конструкторе рабочих процессов, реализованном по принципу блок-схем. Простые блок-схемы помогают визуализировать и настроить любую последовательность задач, позволяющих предотвратить инцидент информационной безопасности. Рабочие процессы состоят из транзакций, которые могут быть ручными (для их совершения необходимы действия пользователя системы) и автоматическими (с учётом заданных условий).
На основании данных о сегментах сети и таблицах маршрутизации сетевых устройств модуль позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент (граф достижимости), исходя из данных о скомпрометированных узлах и их характеристиках. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.
Для определения ложноположительных инцидентов применяется ML-модель, которая обучается на назначенных при закрытии инцидентов вердиктах, а при поступлении нового инцидента выдаёт рекомендацию о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.
Для уведомления по различным значимым событиям всех участников процесса обработки инцидентов предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений.
Для формирования отчётности и визуализации статистической информации по результатам обработки карточек инцидентов в модуле предусмотрены интерактивные дашборды (включая географическую карту и другие способы визуализации), а также экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Гибкие low-code механизмы платформы позволяют пользователям непосредственно в интерфейсе портала создавать произвольные коннекторы к любым внешним системам без применения языков программирования и участия представителей разработчика.
Источником инцидентов чаще всего выступают системы класса SIEM. В модуле предустановлены и поддерживаются в актуальном состоянии коннекторы к популярным российским зарубежным решениям, например: PT MaxPatrol SIEM, RuSIEM, Kaspersky SIEM (KUMA), Pangeo Radar, MF ArcSight ESM, IBM Qradar SIEM, Splunk Enterprise, Fortinet FortiSIEM, McAfee ESM.
Предусмотрены возможности сбора информации по событиям ИБ, обогащения, нейтрализации и координации действий при помощи преднастроенных коннекторов для различных систем, например: ElasticSearch, InfoWatch Traffic Monitor, Kaspersky Security Center, Kaspersky IPS, Symantec IPS, Symantec EPP, FireEye CMS IPS, Cisco IronPort ESA, Kaspersky Security Center, Atlassian JIRA, OTRS , HP Service Manager, Naumen Service Desk, VirusTotal, WhoIsXMLAPI, URLScan, IPInfo.io, IPGeolocation.io, AbuseIPDB, LOLBAS, Kali tools, Shodan, ChatGPT, TrendMicro DDA (Sandbox), Microsoft Exchange, Symantec Endpoint Protection, Check Point SandBlast, Microsoft Active Directory, SSH, PowerShell, Atlassian JIRA, Naumen Service Desk, Solar JSOC, электронный почтовый ящик (IMAP, POP3 и SMTP) и др.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
Security Vision SOAR снижает влияние человеческого фактора, повышает скорость реакции на инциденты, выстраивает проактивную защиту в соответствии с международными стандартами информационной безопасности.
Решение агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST с предоставлением экспертных рекомендаций на различных этапах управления инцидентами.
Подробнее
Модуль управления инцидентами выстраивает гибкий процесс обработки инцидентов при помощи динамических сценариев реагирования и построением цепочки атаки (kill chain) по методологии NIST. Решение осуществляет регистрацию алертов и событий ИБ (в ручном или автоматическом режиме), сбор событий в окрестности инцидента (при необходимости) и автоматизацию действий (классификацию с использованием базы техник и тактик MITRE ATT&CK, обогащение данными из внешних ИТ- и ИБ-систем, управляющие воздействия) с целью нейтрализации инцидентов и их последствий.
Основной функционал:
- динамические плейбуки (сценарии реагирования, подстраивающиеся под инцидент, его тип и объекты, которые были обнаружены);
- классификация 200+ инцидентов с применением баз знаний (внутренних или внешних, например база 100+ техник и тактик MITRE ATT&CK);
- встроенные рекомендации по реагированию для аналитиков (в т.ч. неопытных) для 70+ техник и тактик;
- объектно-ориентированное реагирование (активные действия, выполняющиеся автоматически и/или вручную из карточек и графов связей с возможностью отмены);
- работа не только с инцидентами, но и с цепочками атак (kill chain по методологии NIST) для управления сложными инцидентами;
- сбор окрестности инцидента и событий с Windows/Linux хостов и серверов, а также встроенный механизм корреляции и обработки потока событий (sigma-правила).
- подготовка описания сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов;
- обогащение данными в окрестностях инцидента;
- анализ и классификация, сбор цифровых свидетельств;
- сдерживание и изоляция учётных записей, хостов, URL, email и доменов;
- реагирование на основе ключевых объектов: 70+ преднастроенных действий для хостов, 20+ для УЗ, и др.;
- восстановление скомпрометированных объектов из бэкапа, разблокировка;
- пост-инцидент, недопущения повторения аналогичных инцидентов.
Логика обработки карточек инцидентов строится в графическом конструкторе рабочих процессов, реализованном по принципу блок-схем. Простые блок-схемы помогают визуализировать и настроить любую последовательность задач, позволяющих предотвратить инцидент информационной безопасности. Рабочие процессы состоят из транзакций, которые могут быть ручными (для их совершения необходимы действия пользователя системы) и автоматическими (с учётом заданных условий).
На основании данных о сегментах сети и таблицах маршрутизации сетевых устройств модуль позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент (граф достижимости), исходя из данных о скомпрометированных узлах и их характеристиках. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.
Для определения ложноположительных инцидентов применяется ML-модель, которая обучается на назначенных при закрытии инцидентов вердиктах, а при поступлении нового инцидента выдаёт рекомендацию о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.
Для уведомления по различным значимым событиям всех участников процесса обработки инцидентов предусмотрены следующие каналы оповещения: e-mail, Telegram, внутриплатформенная система оповещений.
Для формирования отчётности и визуализации статистической информации по результатам обработки карточек инцидентов в модуле предусмотрены интерактивные дашборды (включая географическую карту и другие способы визуализации), а также экспорт в виде файлов различных форматов pdf, docx, xlsx, csv, ods, odt, txt.
Гибкие low-code механизмы платформы позволяют пользователям непосредственно в интерфейсе портала создавать произвольные коннекторы к любым внешним системам без применения языков программирования и участия представителей разработчика.
Источником инцидентов чаще всего выступают системы класса SIEM. В модуле предустановлены и поддерживаются в актуальном состоянии коннекторы к популярным российским зарубежным решениям, например: PT MaxPatrol SIEM, RuSIEM, Kaspersky SIEM (KUMA), Pangeo Radar, MF ArcSight ESM, IBM Qradar SIEM, Splunk Enterprise, Fortinet FortiSIEM, McAfee ESM.
Предусмотрены возможности сбора информации по событиям ИБ, обогащения, нейтрализации и координации действий при помощи преднастроенных коннекторов для различных систем, например: ElasticSearch, InfoWatch Traffic Monitor, Kaspersky Security Center, Kaspersky IPS, Symantec IPS, Symantec EPP, FireEye CMS IPS, Cisco IronPort ESA, Kaspersky Security Center, Atlassian JIRA, OTRS , HP Service Manager, Naumen Service Desk, VirusTotal, WhoIsXMLAPI, URLScan, IPInfo.io, IPGeolocation.io, AbuseIPDB, LOLBAS, Kali tools, Shodan, ChatGPT, TrendMicro DDA (Sandbox), Microsoft Exchange, Symantec Endpoint Protection, Check Point SandBlast, Microsoft Active Directory, SSH, PowerShell, Atlassian JIRA, Naumen Service Desk, Solar JSOC, электронный почтовый ящик (IMAP, POP3 и SMTP) и др.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.
