Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг

Security Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.

Ключевые особенности Security Vision SOAR

• Объектно-ориентированный подход к реагированию: каждый элемент инцидента (хост, учётная запись, процесс, артефакт) рассматривается как объект со своими атрибутами, историей, связями и доступными действиями.

• Динамические плейбуки: сценарии расследования и реагирования адаптируются по мере изменения контекста инцидента — при появлении новых объектов, техник MITRE ATT&CK, результатов анализа и обогащения.

• Построение Kill Chain: механизм автоматически объединяет инциденты в единую последовательность этапов (в том числе с помощью дополнительных запросов недостающих сведений), показывает путь злоумышленника и эволюцию атаки.

• Экспертные рекомендации: система подсказывает какие должны быть следующие шаги обработки инцидента. Учитывается контекст инцидента и накопленный опыт внутри SOC. На основе экспертной базы и ML-моделей оценивается вероятность FP, система находит схожие инциденты и рекомендуют действия, выполнявшиеся в подобных кейсах.

Функционал оркестрации, аналитики и управления процессами

Security Vision SOAR обеспечивает оркестрацию средств защиты, аналитических сервисов и объектов инфраструктуры:

• Интеграции с СЗИ: основными источниками инцидентов выступают SIEM, EDR, AV, NGFW, WAF, антиспам и другие классы решений. Большинство интеграций двусторонние — от получения данных до активного реагирования из единой консоли управления.

• Взаимодействие с активами: модуль управления активами поддерживает идентификацию, инвентаризацию и получение данных как через внешние системы, так и при прямом обращении к объектам инфраструктуры.

• Обогащение артефактов: в продукт заложен богатый набор интеграций как с общедоступными, так и работающими по подписке аналитическими сервисами.

• Аналитические инструменты: встроенные сервисы аналитики оценивают зоны потенциального воздействия и возможные направления развития инцидента, а также выполняют автоматическую связку инцидентов с TI-бюллетенями.

• Расчет достижимости активов: система автоматически выстраивает маршруты до наиболее критических и стратегических активов Компании, позволяя прогнозировать развитие атаки и будущих действий злоумышленника.

• Встроенная система задач с жизненным циклом и интеграция с популярными системами заявок/ITSM (Jira, Naumen, OTRS и др.) позволяют координировать работу SOC и взаимодействовать со смежными подразделениями в едином контуре.

Новый функционал, добавленный в релизе

Локальный ИИ-ассистент: помощь с учётом контекста инцидента — полностью в контуре заказчика

В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения.

Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре Заказчика.

ИИ-ассистент поможет в таких вопросах как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего.

Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности.

ML-скоринг критичности инцидентов

В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC.

Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов.

ML-summary - автоматический отчет по инциденту: единый стандарт итогов расследования

При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая:

• что произошло;

• что было сделано при расследовании;

• какие действия были предприняты;

• какой получен результат;

• удалось ли что-то атакующему.

Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности.

Эффект для SOC и ИБ-подразделений

Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя:

• быстрее интерпретировать события и артефакты;

• получать более точные рекомендации по реагированию;

• снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов;

• сократить время на триаж инцидентов благодаря ML-оценке критичности;

• снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.