SOT
Security Orchestration Tools
Технологии
SOAR
Security Orchestration, Automation and Response
NG SOAR
Next Generation SOAR
AM
Asset Management
VM
Vulnerability Management
VS
Vulnerability Scanner
SPC
Security Profile Compliance
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
FinCERT
Financial Computer Emergency Response Team
SIEM
Security Information and Event Management
GRC
Governance, Risk Management and Compliance
Процессы
КИИ
Критическая Информационная Инфраструктура
CM
Compliance Management
SA
Self-assessment
BCM
Business Continuity Management
RM
Risk Management
ORM
Operational Risk Management
ASOC
Application Security Orchestration and Correlation
SDA
Security Data Analysis
Аналитика
TIP
Threat Intelligence Platform
UEBA
User and Entity Behavior Analytics
AD + ML
Anomaly Detection with Machine Learning
Обзор продукта
Security Vision SIEM автоматизирует поиск и анализ «сырых» событий для своевременного обнаружения угроз и инцидентов с применением корреляционного no-code движка и 1000+ правил «из коробки».
Решение агрегирует все события для обработки в едином интерфейсе, предоставляя специалистам полной картины: карточки, списки, интерактивные виджеты, дашборды, графы связей и другие компоненты конструктора аналитики для изучения, применения гипотез и формирования отчётности.
Применение продукта
Сбор и агрегация данных из любых источников
Реализация ключевых процессов мониторинга и реагирования для компаний любого масштаба: 150+ интеграций «из коробки» дополнены маркетплейсом для поиска и импорта, а также конструктором коннекторов для любых источников вне зависимости от вендора (конкурентные лицензии) и способа передачи (полный набор транспортов).
Корреляция и продвинутый анализ
Обработка событий и выявление алертов, указывающих на попытки реализации угроз ИБ с покрытием 73% техник MITRE ATT&CK. Встроенный движок корреляции с масштабным набором правил «из коробки» и возможностью создавать собственные с условиями, фильтрами, последовательностями и учётом веса каждого события (без ограничений по количеству и составу).
Синхронизация, очистка и нормализация данных
При поступлении событий от разных источников в разрозненном порядке система выполняет синхронизацию времени и поддерживает ретроспективное восстановление цепочек для корректной отработки, в т.ч. когда отсутствие ожидаемого события является сигналом, или когда обработка большого количества EPS требует минимального «железа».
Примеры и интеграции
Управление активами и инвентаризацией
Сканирование, идентификация и инвентаризация формирует единую актуальную витрину IT-активов. Модуль собирает информацию о хостах, серверах, ИТ-системах, СЗИ и сервисах, их категорирование по критичности и ролям с полноценной ресурсно-сервисной моделью.
Аналитик при расследовании инцидентов получает полный контекст того, какой именно актив затронут, к какому сегменту он относится и какое бизнес-значение имеет. Единая модель данный во всех модулях платформы Security Vision позволяет применять собранные данные не только в практических целях реагирования, но и стратегической безопасности, аудита и комплаенса, риск-ориентированных SOC или центров обработки больших данных.
Система способна проводить сканирование активов без прямого соединения с их сетевыми сегментами: для этих целей устанавливается отдельная выделенная компонента сервиса коннекторов, через которую (или через цепочку подобных сервисов) происходит обнаружение и сбор данных по активам с удаленных сегментов сети.
Сбор событий из множества источников данных
Система выполняет сбор событий от источников через удаленное подключение или с помощью агентов, в т.ч. автономных, которые получают задания по сбору данных и досылают все накопленные события, как только появилось соединение с корпоративной сетью. Удаленный сбор данных может осуществляться без прямого доступа к конечным устройствам с центрального сервера – через цепочку отдельных сервисов коннекторов, распределенных по отдельным сегментам корпоративной сети.
В продукт заложены готовые профили для различных методов сбора для всех популярных источников журналов:
1) Syslog;
2) Event log;
3) WMI;
3) JDBC/DBC, SQL БД;
4) HTTP и DNS;
5) Docker и Kubernetes;
и др. сервисы, ИТ-системы и СЗИ.
Полная управляемость и прозрачность
Дополнительное обогащение и вычисления итоговых значений в переменных в реальном времени позволяет легко адаптироваться под любую инфраструктуру и обладает низким порогом вхождения для специалистов (не требует писать скрипты или использовать сложные языки команд).
Функционал управления белыми и чёрными списками программного обеспечения и построения маршрутов достижимости между активами на основе таблиц маршрутизации и ACL-листов позволяет оценивать:
• состав стратегических систем;
• то, как инцидент на одном узле может повлиять на другие системы;
• насколько велика вероятность достижения критических активов;
• какие точки изоляции будут наиболее эффективными.
Встроенное реагирование
• Информация о связанных активах с возможностью выполнять действия по реагированию прямо из карточки инцидента;
• сведения о выявленных артефактах (например: процесс, внешний IP, URL и др.);
• экспертные рекомендации по шагам реагирования на данный инцидент;
• чат для взаимодействия с коллегами и группой реагирования;
• данные об исходных алертах и событиях;
• управление задачами (в т.ч. во внешних ITSM с двусторонней интеграцией);
• возможность отправки и получения электронных писем, отправка сообщений в мессенджеры.
Искусственный интеллект
• скоринг False Positive, с обучением на данных по закрытым инцидентам: при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми с вердиктом False Positive и выдает результат в виде процентного соответствия;
• поиск похожих: модель анализирует контекст инцидента ищет и показывает похожие кейсы, что позволяет аналитику как увидеть подобные инциденты, которые сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом;
• оценка критичности, с оценкой на основе признаков, отражающих массовость и значимость затронутых активов с учетом контекста, связанных с инцидентом алертов.
Поддерживаются и интеграции со сторонними ИИ:
• Yandex GPT;
• ChatGPT (OpenAI);
• DeepSeek;
и любые другие внешние LLM-модели с доступом к ним из единого чата для коммуникации в карточках объектов.
Результаты работы всех ML моделей доступны в карточке инцидента для удобного расследования и реагирования.
Визуализация и реагирование
• отправка и вывод объекта из карантина;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.
Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.
Продукт соответствует требованиям регуляторов
Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России и входит в реестр отечественного ПО.
Медиа
Экосистема продуктов Security Vision
Закажите демонстрацию
продукта Security Vision
Напишите нам на sales@securityvision.ru
или закажите демонстрацию
Публикации о продукте
Другие продукты
SOAR
Security Orchestration, Automation and Response
Автоматизация реагирования на инциденты ИБ
КИИ
Критическая Информационная Инфраструктура
Аудит и управление безопасностью КИИ
CM
Compliance Management
Комплаенс и аудит соответствия стандартам
SA
Self-assessment
Управление состоянием информационной безопасности<br>Портал самооценки, мониторинга и контроля
BCM
Business Continuity Management
Обеспечение непрерывности бизнеса
RM
Risk Management
Управление кибер-рисками и контроль угроз
NG SOAR
Next Generation SOAR
Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом
ORM
Operational Risk Management
Управление операционными рисками и КИР
TIP
Threat Intelligence Platform
Анализ киберугроз и threat-hunting
AM
Asset Management
Инвентаризация и управление ИТ-активами
ASOC
Application Security Orchestration and Correlation
Управление безопасной разработкой
UEBA
User and Entity Behavior Analytics
Поведенческий анализ пользователей и инфраструктуры
VM
Vulnerability Management
Устранение уязвимостей с автопатчингом
VS
Vulnerability Scanner
Поиск технических уязвимостей на активах
AD + ML
Anomaly Detection with Machine Learning
Поиск аномалий с машинным обучением
SPC
Security Profile Compliance
Управление конфигурациями безопасности активов
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
Двустороннее взаимодействие с НКЦКИ
FinCERT
Financial Computer Emergency Response Team
Двустороннее взаимодействие с ЦБ
Другие продукты
SOAR
Security Orchestration, Automation and Response
Автоматизация реагирования на инциденты ИБ
КИИ
Критическая Информационная Инфраструктура
Аудит и управление безопасностью КИИ
CM
Compliance Management
Комплаенс и аудит соответствия стандартам
SA
Self-assessment
Управление состоянием информационной безопасности<br>Портал самооценки, мониторинга и контроля
BCM
Business Continuity Management
Обеспечение непрерывности бизнеса
RM
Risk Management
Управление кибер-рисками и контроль угроз
NG SOAR
Next Generation SOAR
Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом
ORM
Operational Risk Management
Управление операционными рисками и КИР
TIP
Threat Intelligence Platform
Анализ киберугроз и threat-hunting
AM
Asset Management
Инвентаризация и управление ИТ-активами
ASOC
Application Security Orchestration and Correlation
Управление безопасной разработкой
UEBA
User and Entity Behavior Analytics
Поведенческий анализ пользователей и инфраструктуры
VM
Vulnerability Management
Устранение уязвимостей с автопатчингом
VS
Vulnerability Scanner
Поиск технических уязвимостей на активах
AD + ML
Anomaly Detection with Machine Learning
Поиск аномалий с машинным обучением
SPC
Security Profile Compliance
Управление конфигурациями безопасности активов
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
Двустороннее взаимодействие с НКЦКИ
FinCERT
Financial Computer Emergency Response Team
Двустороннее взаимодействие с ЦБ
Остались вопросы?