NG SOAR

Next Generation SOAR

Расширенное управление инцидентами

готовое решение, включающее в себя комбинацию продуктов Security Vision: AM + SIEM* + SOAR + ГосСОПКА и FinCERT
*Security Information and Event Management

IRP, SOC, инциденты, события ИБ, Kill Chain, плейбуки, корреляция, тикетинг, реагирование, уязвимости, NIST

Обзор продукта

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом.

Security Vision NG SOAR включает как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения.

Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.

Применение продукта

Встроенный SIEM, мониторинг событий ИБ

100 правил корреляции с возможностью хранения только тех событий, которые нужны для работы, и восстановлением цепочки событий, (даже если в моменте отсутствовала связь с источником и данные были получены позднее)

Фазы обработки инцидентов по NIST

1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств
5) Устранение (Eradication) реагирование на основе ключевых объектов
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка
7) Пост-инцидент (Post-Incident) работа над ошибками

Объектно-ориентированное реагирование

Автоматическое построение цепочки атаки и объектно-ориентированное реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Примеры и интеграции

ИИ-помощники

Встроенные модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами: система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложно-положительных срабатываний (False Positive) и снижения нагрузки на персонал.

Интеграция с внешними LLM-моделями (например, YandexGPT и ChatGPT) позволяет в рамках обработки инцидентов и работы в команде обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.

Часто встречаемые источники данных об инцидентах

Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита);
• NGFW (сетевая телеметрия, управление хостами);
• WAF (логи);
• Proxy-серверов (логи);
• Email-серверов (антиспам списки, блокировка);
• Конечных узлов (слепок узла, установленное ПО);
• Сканеров уязвимостей (технические уязвимости, критичность);
• Средств обогащения IoC (хэш, IP, email, домен);
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.);
• LDAP (OpenLDAP, MS AD);
• Антивирусных решений (AV, EPP, EDR);
и др.

Внешние сервисы обогащения

Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal;
• WhoIsXMLAPI;
• URLScan;
• IPInfo.io;
• IPgeolocation.io;
• AbuseIPDB;
• LOLBAS;
• Kali tools;
• Shodan;
• ChatGPT;
и др.

Часто встречаемые источники данных об активах

Сведения об активах обогащаются в том числе из сторонних решений, файлов и БД, например:
• SIEM;
• uCMDB;
• AV/EDR;
• DLP/EM;
• Сканеры уязвимостей;
• LDAP-каталогов, AD, open LDAP;
• Lansweeper;
• MS SCCM;
• WSUS;
• VMware;
• nslookup;
и др.

Построение Kill Chain и взаимодействие с регуляторами

Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Мониторинг событий ИБ и управление инцидентами работают вместе с двусторонней интеграцией с центрами реагирования регуляторов

Удалённое управление

Различные действия можно выполнять для нескольких объектов при помощи массовых операций или для каждого актива, например:
• блокировка/разблокировка пользователя;
• завершение сеанс;
• проверка версии и обновление ПО;
• удаление ПО;
• получение списка локальных админов;
• получение списка прав для папки;
• получение списка сетевых соединений;
• таблица маршрутизации;
• правила брандмауэра;
и др.

Фазы обработки инцидентов по NIST

1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов = AM
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента = SIEM + VM
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов = SOAR
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств = SOAR + SIEM
5) Устранение (Eradication) реагирование на основе ключевых объектов = SOAR
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка = AM + SOAR
7) Пост-инцидент (Post-Incident) работа над ошибками = SOAR + SIEM

Схема работы и взаимодействия с инфраструктурой

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России и входит в реестр отечественного ПО.