SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Все продукты

NG SOAR

Next Generation SOAR

Расширенное управление инцидентами

готовое решение, включающее в себя комбинацию продуктов Security Vision: AM + SIEM* + SOAR + ГосСОПКА и FinCERT
*Security Information and Event Management

IRP, SOC, инциденты, события ИБ, Kill Chain, плейбуки, корреляция, тикетинг, реагирование, уязвимости, NIST

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом.

Security Vision NG SOAR включает как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения.

Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.

Применение продукта

Встроенный SIEM, мониторинг событий ИБ


100 правил корреляции с возможностью хранения только тех событий, которые нужны для работы, и восстановлением цепочки событий, (даже если в моменте отсутствовала связь с источником и данные были получены позднее)

Фазы обработки инцидентов по NIST


1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств
5) Устранение (Eradication) реагирование на основе ключевых объектов
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка
7) Пост-инцидент (Post-Incident) работа над ошибками

Объектно-ориентированное реагирование


Автоматическое построение цепочки атаки и объектно-ориентированное реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Примеры и интеграции

ИИ-помощники

Встроенные модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами, система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложно-положительных срабатываний (False Positive) и снижения нагрузки на персонал.

Интеграция с внешними LLM-моделями (например, YandexGPT и ChatGPT) позволяет в рамках обработки инцидентов и работы в команде обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.

Часто встречаемые источники данных об инцидентах

Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита);
• NGFW (сетевая телеметрия, управление хостами);
• WAF (логи);
• Proxy-серверов (логи);
• Email-серверов (антиспам списки, блокировка);
• Конечных узлов (слепок узла, установленное ПО);
• Сканеров уязвимостей (технические уязвимости, критичность);
• Средств обогащения IoC (хэш, IP, email, домен);
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.);
• LDAP (OpenLDAP, MS AD);
• Антивирусных решений (AV, EPP, EDR);
и др.

Внешние сервисы обогащения

Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal;
• WhoIsXMLAPI;
• URLScan;
• IPInfo.io;
• IPgeolocation.io;
• AbuseIPDB;
• LOLBAS;
• Kali tools;
• Shodan;
• ChatGPT;
и др.

Часто встречаемые источники данных об активах

Сведения об активах обогащаются в том числе из сторонних решений, файлов и БД, например:
• SIEM;
• uCMDB;
• AV/EDR;
• DLP/EM;
• Сканеры уязвимостей;
• LDAP-каталогов, AD, open LDAP;
• Lansweeper;
• MS SCCM;
• WSUS;
• VMware;
• nslookup;
и др.

Построение Kill Chain и взаимодействие с регуляторами

Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Мониторинг событий ИБ и управление инцидентами работают вместе с двусторонней интеграцией с центрами реагирования регуляторов

Удалённое управление

Различные действия можно выполнять для нескольких объектов при помощи массовых операций или для каждого актива, например:
• блокировка/разблокировка пользователя;
• завершение сеанс;
• проверка версии и обновление ПО;
• удаление ПО;
• получение списка локальных админов;
• получение списка прав для папки;
• получение списка сетевых соединений;
• таблица маршрутизации;
• правила брандмауэра;
и др.

Фазы обработки инцидентов по NIST

1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов = AM
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента = SIEM + VM
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов = SOAR
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств = SOAR + SIEM
5) Устранение (Eradication) реагирование на основе ключевых объектов = SOAR
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка = AM + SOAR
7) Пост-инцидент (Post-Incident) работа над ошибками = SOAR + SIEM

Схема работы и взаимодействия с инфраструктурой

NG SOAR

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.

Медиа

Security Vision Next Generation SOAR (NG SOAR)

 

Экосистема продуктов Security Vision

 

SECURITY VISION_ИНТЕЛЛЕКТУАЛЬНАЯ ПЛАТФОРМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Security Vision Next Generation SOAR (NG SOAR)

Security Vision Next Generation SOAR (NG SOAR)

Экосистема продуктов Security Vision

Экосистема продуктов Security Vision

SECURITY VISION_ИНТЕЛЛЕКТУАЛЬНАЯ ПЛАТФОРМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

SECURITY VISION_ИНТЕЛЛЕКТУАЛЬНАЯ ПЛАТФОРМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Закажите демонстрацию
продукта Security Vision

Напишите нам на sales@securityvision.ru
или закажите демонстрацию

Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Продукты платформы Security Vision первыми в своих классах признаны системами с искусственным интеллектом (ИИ)
Подтверждена совместимость NGFW «Континент 4» и продуктов Security Vision
Коммерсант FM рассказал о Security Vision NG SOAR
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Возможности обновленных продуктов Security Vision SOAR и NG SOAR

Возможности обновленных продуктов Security Vision SOAR и NG SOAR

Продукты платформы Security Vision первыми в своих классах признаны системами с искусственным интеллектом (ИИ)

Продукты платформы Security Vision первыми в своих классах признаны системами с искусственным интеллектом (ИИ)

Подтверждена совместимость NGFW «Континент 4» и продуктов Security Vision

Подтверждена совместимость NGFW «Континент 4» и продуктов Security Vision

Коммерсант FM рассказал о Security Vision NG SOAR

Коммерсант FM рассказал о Security Vision NG SOAR

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Другие продукты

Другие продукты

Остались вопросы?

Напишите нам на sales@securityvision.ru или закажите демонстрацию