SOT
Security Orchestration Tools
Технологии
SOAR
Security Orchestration, Automation and Response
NG SOAR
Next Generation SOAR
AM
Asset Management
VM
Vulnerability Management
VS
Vulnerability Scanner
SPC
Security Profile Compliance
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
FinCERT
Financial Computer Emergency Response Team
GRC
Governance, Risk Management and Compliance
Процессы
КИИ
Критическая Информационная Инфраструктура
RM
Risk Management
ORM
Operational Risk Management
CM
Compliance Management
BCP
Business Continuity Plan
SDA
Security Data Analysis
Аналитика
TIP
Threat Intelligence Platform
UEBA
User and Entity Behavior Analytics
AD + ML
Anomaly Detection with Machine Learning
Обзор продукта
Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом.
Security Vision NG SOAR включает как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения.
Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.
Применение продукта
Встроенный SIEM, мониторинг событий ИБ
100 правил корреляции с возможностью хранения только тех событий, которые нужны для работы, и восстановлением цепочки событий, (даже если в моменте отсутствовала связь с источником и данные были получены позднее)
Фазы обработки инцидентов по NIST
1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств
5) Устранение (Eradication) реагирование на основе ключевых объектов
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка
7) Пост-инцидент (Post-Incident) работа над ошибками
Объектно-ориентированное реагирование
Автоматическое построение цепочки атаки и объектно-ориентированное реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)
Встроенное взаимодействие с регулятором
Мониторинг событий ИБ и управление инцидентами работают вместе с двусторонней интеграцией с центрами реагирования регуляторов
Примеры и интеграции
ИИ-помощники
Встроенные модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами, система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложно-положительных срабатываний (False Positive) и снижения нагрузки на персонал.
Интеграция с внешними LLM-моделями (например, YandexGPT и ChatGPT) позволяет в рамках обработки инцидентов и работы в команде обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.
Часто встречаемые источники данных об инцидентах
Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита);
• NGFW (сетевая телеметрия, управление хостами);
• WAF (логи);
• Proxy-серверов (логи);
• Email-серверов (антиспам списки, блокировка);
• Конечных узлов (слепок узла, установленное ПО);
• Сканеров уязвимостей (технические уязвимости, критичность);
• Средств обогащения IoC (хэш, IP, email, домен);
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.);
• LDAP (OpenLDAP, MS AD);
• Антивирусных решений (AV, EPP, EDR);
и др.
• SIEM (в т.ч. с подключёнными логами аудита);
• NGFW (сетевая телеметрия, управление хостами);
• WAF (логи);
• Proxy-серверов (логи);
• Email-серверов (антиспам списки, блокировка);
• Конечных узлов (слепок узла, установленное ПО);
• Сканеров уязвимостей (технические уязвимости, критичность);
• Средств обогащения IoC (хэш, IP, email, домен);
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.);
• LDAP (OpenLDAP, MS AD);
• Антивирусных решений (AV, EPP, EDR);
и др.
Внешние сервисы обогащения
Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal;
• WhoIsXMLAPI;
• URLScan;
• IPInfo.io;
• IPgeolocation.io;
• AbuseIPDB;
• LOLBAS;
• Kali tools;
• Shodan;
• ChatGPT;
и др.
• VirusTotal;
• WhoIsXMLAPI;
• URLScan;
• IPInfo.io;
• IPgeolocation.io;
• AbuseIPDB;
• LOLBAS;
• Kali tools;
• Shodan;
• ChatGPT;
и др.
Часто встречаемые источники данных об активах
Сведения об активах обогащаются в том числе из сторонних решений, файлов и БД, например:
• SIEM;
• uCMDB;
• AV/EDR;
• DLP/EM;
• Сканеры уязвимостей;
• LDAP-каталогов, AD, open LDAP;
• Lansweeper;
• MS SCCM;
• WSUS;
• VMware;
• nslookup;
и др.
• SIEM;
• uCMDB;
• AV/EDR;
• DLP/EM;
• Сканеры уязвимостей;
• LDAP-каталогов, AD, open LDAP;
• Lansweeper;
• MS SCCM;
• WSUS;
• VMware;
• nslookup;
и др.
Построение Kill Chain и взаимодействие с регуляторами
Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)
Мониторинг событий ИБ и управление инцидентами работают вместе с двусторонней интеграцией с центрами реагирования регуляторов
Мониторинг событий ИБ и управление инцидентами работают вместе с двусторонней интеграцией с центрами реагирования регуляторов
Удалённое управление
Различные действия можно выполнять для нескольких объектов при помощи массовых операций или для каждого актива, например:
• блокировка/разблокировка пользователя;
• завершение сеанс;
• проверка версии и обновление ПО;
• удаление ПО;
• получение списка локальных админов;
• получение списка прав для папки;
• получение списка сетевых соединений;
• таблица маршрутизации;
• правила брандмауэра;
и др.
Фазы обработки инцидентов по NIST
1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов = AM
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента = SIEM + VM
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов = SOAR
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств = SOAR + SIEM
5) Устранение (Eradication) реагирование на основе ключевых объектов = SOAR
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка = AM + SOAR
7) Пост-инцидент (Post-Incident) работа над ошибками = SOAR + SIEM
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента = SIEM + VM
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов = SOAR
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств = SOAR + SIEM
5) Устранение (Eradication) реагирование на основе ключевых объектов = SOAR
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка = AM + SOAR
7) Пост-инцидент (Post-Incident) работа над ошибками = SOAR + SIEM
Пополняемая база знаний
Встроенные рекомендации экспертов Security Vision, которые доступны в соответствующих карточках и графах связей, на различных этапах работы:
• Первичный анализ;
• Расширенное сдерживание;
• Первичное реагирование;
• Пост-инцидент.
• Первичный анализ;
• Расширенное сдерживание;
• Первичное реагирование;
• Пост-инцидент.
Схема работы и взаимодействия с инфраструктурой
Закажите демонстрацию
продукта Security Vision
Напишите нам на sales@securityvision.ru
или закажите демонстрацию
Медиа
.webp)
Security Vision Next Generation SOAR (NG SOAR)
Экосистема продуктов Security Vision
SECURITY VISION_ИНТЕЛЛЕКТУАЛЬНАЯ ПЛАТФОРМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Публикации о продукте
Остались вопросы?