SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Все продукты

NG SOAR

Next Generation SOAR

Расширенное управление инцидентами

готовое решение, включающее в себя комбинацию коробочных* и вспомогательных продуктов Security Vision:
NG SOAR = AM* + VM* + Vulnerability Scanner (VS) + SOAR* + Security Information and Event Management (SIEM)

IRP, SOC, инциденты, события ИБ, Kill Chain, плейбуки, корреляция, тикетинг, реагирование, уязвимости, NIST

Обзор продукта

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом.

Security Vision NG SOAR включает как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения.

Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.

Применение продукта

Объектно-ориентированное реагирование

Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Встроенный SIEM, мониторинг событий ИБ


100 правил корреляции с возможностью хранения только тех событий, которые нужны для работы, и восстановлением цепочки событий, (даже если в моменте отсутствовала связь с источником и данные были получены позднее)

Встроенный VS, сканирование защищённости


Сканер уязвимостей работает в режиме белого ящика, чтобы создавать меньше "шума" в результатах обработки данных 3 способами, включая безагентский сбор данных и форвардинг

Примеры и интеграции

Часто встречаемые источники данных об инцидентах

Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита);
• NGFW (сетевая телеметрия, управление хостами);
• WAF (логи);
• Proxy-серверов (логи);
• Email-серверов (антиспам списки, блокировка);
• Конечных узлов (слепок узла, установленное ПО);
• Сканеров уязвимостей (технические уязвимости, критичность);
• Средств обогащения IoC (хэш, IP, email, домен);
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.);
• LDAP (OpenLDAP, MS AD);
• Антивирусных решений (AV, EPP, EDR);
и др.

Внешние сервисы обогащения

Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal;
• WhoIsXMLAPI;
• URLScan;
• IPInfo.io;
• IPgeolocation.io;
• AbuseIPDB;
• LOLBAS;
• Kali tools;
• Shodan;
• ChatGPT;
и др.

Часто встречаемые источники данных об активах

Сведения об активах обогащаются в том числе из сторонних решений, файлов и БД, например:
• SIEM;
• uCMDB;
• AV/EDR;
• DLP/EM;
• Сканеры уязвимостей;
• LDAP-каталогов, AD, open LDAP;
• Lansweeper;
• MS SCCM;
• WSUS;
• VMware;
• nslookup;
и др.

Фазы обработки инцидентов по NIST

1) Подготовка (Preparation) описание сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов = AM
2) Обнаружение (Detection) обогащение данными в окрестностях инцидента = SIEM + VM
3) Сдерживание (Containment) сдерживание и изоляция учётных записей, хостов, URL/Email/доменов = SOAR
4) Расследование (Investigation) анализ и классификация, сбор цифровых свидетельств = SOAR + SIEM
5) Устранение (Eradication) реагирование на основе ключевых объектов = SOAR
6) Восстановление (Recovery) восстановление скомпрометированных объектов из бэкапа, разблокировка = AM + SOAR
7) Пост-инцидент (Post-Incident) работа над ошибками = SOAR + SIEM

Удалённое управление

Различные действия можно выполнять для нескольких объектов при помощи массовых операций или для каждого актива, например:
• блокировка/разблокировка пользователя;
• завершение сеанс;
• проверка версии и обновление ПО;
• удаление ПО;
• получение списка локальных админов;
• получение списка прав для папки;
• получение списка сетевых соединений;
• таблица маршрутизации;
• правила брандмауэра;
и др.

Пополняемая база знаний

Встроенные рекомендации экспертов Security Vision, которые доступны в соответствующих карточках и графах связей, на различных этапах работы:
• Первичный анализ;
• Расширенное сдерживание;
• Первичное реагирование;
• Пост-инцидент.

Схема работы и взаимодействия с инфраструктурой

NG SOAR

Закажите демонстрацию
продукта Security Vision

Напишите нам на sales@securityvision.ru
или закажите демонстрацию

Медиа

Security Vision Next Generation SOAR (NG SOAR)

 

Security Vision Next Generation SOAR (NG SOAR)

Security Vision Next Generation SOAR (NG SOAR)

Другие продукты

Другие продукты

КИИ

Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

TIP

Threat Intelligence Platform

Сбор и анализ данных об угрозах кибербезопасности, их обогащение, обнаружение в инфраструктуре, а также расследование и реагирование

RM

Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM

Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

UEBA

User and Entity Behavior Analytics

Выстраивание моделей поведения и обнаружение отклонений от них при помощи нескольких десятков встроенных правил статического анализа

CM

Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP

Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

AD + ML

Anomaly Detection with Machine Learning

Динамический поведенческий анализ для поиска аномалий с применением машинного обучения и поиска возможных инцидентов

ГосСОПКА

Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT

Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Остались вопросы?

Напишите нам на sales@securityvision.ru или закажите демонстрацию