14.12.2023
21.06.2023
09.06.2022
SOT
SOAR
Security Orchestration, Automation and Response
NG SOAR
Next Generation SOAR
AM
Asset Management
VM
Vulnerability Management
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
FinCERT
Financial Computer Emergency Response Team
Обзор продукта
Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом.
Security Vision SOAR снижает влияние человеческого фактора, повышает скорость реакции на инциденты, выстраивает проактивную защиту в соответствии с международными стандартами информационной безопасности.
Решение агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST с предоставлением экспертных рекомендаций на различных этапах управления инцидентами.
Применение продукта
Динамические плейбуки и база MITRE
Плейбуки, автоматически выстраиваемые для 200+ типов инцидентов в зависимости от подключённых СЗИ (SIEM, UEBA, AV/EDR, NGFW, WAF, Proxy и др.) и ИТ-систем, 100+ техник и тактик MITRE ATT&K, а также встроенные рекомендации экспертов на разных этапах работы с инцидентами
Построение Kill Chain и адаптивное реагирование
Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)
Методология NIST и встроенные рекомендации
В зависимости от типов инцидентов и атак в карточках и графах связей доступны рекомендации экспертов на различных этапах: первичный анализ, расширенное сдерживание, первичное реагирование и пост-инцидент
Примеры и интеграции
Жизненный цикл инцидента по NIST
1) Подготовка описания сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов;
2) Обогащение данными в окрестностях инцидента;
3) Анализ и классификация, сбор цифровых свидетельств;
4) Сдерживание и изоляция учётных записей, хостов, URL/Email/доменов;
5) Реагирование на основе ключевых объектов: 70+ преднастроенных действий для хостов, 20+ для УЗ, и другие типы объектов;
6) Восстановление скомпрометированных объектов из бэкапа, разблокировка;
7) Пост-инцидент, недопущения повторения аналогичных инцидентов.
Часто встречаемые источники данных
Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита)
• NGFW (сетевая телеметрия, управление хостами)
• WAF (логи)
• Proxy-серверов (логи)
• Email-серверов (антиспам списки, блокировка)
• Конечных узлов (слепок узла, установленное ПО)
• Сканеров уязвимостей (технические уязвимости, критичность)
• Средств обогащения IoC (хэш, IP, email, домен)
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.)
• LDAP (OpenLDAP, MS AD)
• Антивирусных решений (AV, EPP, EDR)
и др. ИБ/ИТ систем
• SIEM (в т.ч. с подключёнными логами аудита)
• NGFW (сетевая телеметрия, управление хостами)
• WAF (логи)
• Proxy-серверов (логи)
• Email-серверов (антиспам списки, блокировка)
• Конечных узлов (слепок узла, установленное ПО)
• Сканеров уязвимостей (технические уязвимости, критичность)
• Средств обогащения IoC (хэш, IP, email, домен)
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.)
• LDAP (OpenLDAP, MS AD)
• Антивирусных решений (AV, EPP, EDR)
и др. ИБ/ИТ систем
Внешние сервисы обогащения
Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal
• WhoIsXMLAPI
• URLScan
• IPInfo.io
• IPgeolocation.io
• AbuseIPDB
• LOLBAS
• Kali tools
• Shodan
• ChatGPT
и др.
• VirusTotal
• WhoIsXMLAPI
• URLScan
• IPInfo.io
• IPgeolocation.io
• AbuseIPDB
• LOLBAS
• Kali tools
• Shodan
• ChatGPT
и др.
Формирование отчётности
Для каждого инцидента или статистики за выбранный период можно сформировать отчёт по собственному шаблону и дальнейшей выгрузки в виде файла или отправки по почте в различных форматах:
• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.
Отчёты могут содержать любые свойства, полученные в ходе сбора, анализа и обработки событий ИБ.
Внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик
• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.
Отчёты могут содержать любые свойства, полученные в ходе сбора, анализа и обработки событий ИБ.
Внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик
Визуализация и реагирование
Атаки и входящие в них инциденты при помощи графов связей указывают на вовлечённые объекты и включают рекомендации экспертов для интерактивного реагирования. Графы и табличные представления позволяют запускать различные команды реагирования во время работы аналитика, например:
• отправка и вывод объекта из карантины;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.
Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.
• отправка и вывод объекта из карантины;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.
Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.
Схема работы и взаимодействия с инфраструктурой
Закажите демонстрацию
продукта Security Vision
Напишите нам на sales@securityvision.ru
или закажите демонстрацию
Медиа
Дмитрий Балдин, РусГидро: Нам очень помогла компания Security Vision
Сергей Быков, Форт Диалог: Совместно с Security Vision мы провели ряд мероприятий в регионах, по итогам которых уже пилотируем SOAR как в крупных промышленных холдингах, так и в компаниях, относящихся к МСБ
Николай Сивак, ГК «Солар»: Солар взаимодействует с Security Vision как со своим стратегическим партнером
Марина Плетнёва (X5 Group): Security Vision SOAR – самое сердце оперативного реагирования
Сергей Бычков (ЦИТ Красноярского края): Security Vision SOAR является оптимальной
Андрей Нуйкин (Евраз): Мы решили пойти по пути максимальной автоматизации рутинных операций
Материалы о продукте
Остались вопросы?