23.04.2024
14.12.2023
21.06.2023
09.06.2022
SOT
Security Orchestration Tools
Технологии
SOAR
Security Orchestration, Automation and Response
NG SOAR
Next Generation SOAR
AM
Asset Management
VM
Vulnerability Management
VS
Vulnerability Scanner
SPC
Security Profile Compliance
ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак
FinCERT
Financial Computer Emergency Response Team
GRC
Governance, Risk Management and Compliance
Процессы
КИИ
Критическая Информационная Инфраструктура
RM
Risk Management
ORM
Operational Risk Management
CM
Compliance Management
BCP
Business Continuity Plan
SDA
Security Data Analysis
Аналитика
TIP
Threat Intelligence Platform
UEBA
User and Entity Behavior Analytics
AD + ML
Anomaly Detection with Machine Learning
Обзор продукта
Security Vision SOAR снижает влияние человеческого фактора, повышает скорость реакции на инциденты, выстраивает проактивную защиту в соответствии с международными стандартами информационной безопасности.
Решение агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST с предоставлением экспертных рекомендаций на различных этапах управления инцидентами.
Применение продукта
Динамические плейбуки и база MITRE
Плейбуки, автоматически выстраиваемые для 200+ типов инцидентов в зависимости от подключённых СЗИ (SIEM, UEBA, AV/EDR, NGFW, WAF, Proxy и др.) и ИТ-систем, 100+ техник и тактик MITRE ATT&K, а также встроенные рекомендации экспертов на разных этапах работы с инцидентами
Построение Kill Chain и адаптивное реагирование
Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)
Методология NIST и встроенные рекомендации
В зависимости от типов инцидентов и атак в карточках и графах связей доступны рекомендации экспертов на различных этапах: первичный анализ, расширенное сдерживание, первичное реагирование и пост-инцидент
Примеры и интеграции
ИИ-помощники
Встроенные модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами, система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложно-положительных срабатываний (False Positive) и снижения нагрузки на персонал.
Интеграция с внешними LLM-моделями (например, YandexGPT и ChatGPT) позволяет в рамках обработки инцидентов и работы в команде обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.
Жизненный цикл инцидента по NIST
1) Подготовка описания сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов;
2) Обогащение данными в окрестностях инцидента;
3) Анализ и классификация, сбор цифровых свидетельств;
4) Сдерживание и изоляция учётных записей, хостов, URL/Email/доменов;
5) Реагирование на основе ключевых объектов: 70+ преднастроенных действий для хостов, 20+ для УЗ, и другие типы объектов;
6) Восстановление скомпрометированных объектов из бэкапа, разблокировка;
7) Пост-инцидент, недопущения повторения аналогичных инцидентов.
Часто встречаемые источники данных
Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита)
• NGFW (сетевая телеметрия, управление хостами)
• WAF (логи)
• Proxy-серверов (логи)
• Email-серверов (антиспам списки, блокировка)
• Конечных узлов (слепок узла, установленное ПО)
• Сканеров уязвимостей (технические уязвимости, критичность)
• Средств обогащения IoC (хэш, IP, email, домен)
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.)
• LDAP (OpenLDAP, MS AD)
• Антивирусных решений (AV, EPP, EDR)
и др. ИБ/ИТ систем
• SIEM (в т.ч. с подключёнными логами аудита)
• NGFW (сетевая телеметрия, управление хостами)
• WAF (логи)
• Proxy-серверов (логи)
• Email-серверов (антиспам списки, блокировка)
• Конечных узлов (слепок узла, установленное ПО)
• Сканеров уязвимостей (технические уязвимости, критичность)
• Средств обогащения IoC (хэш, IP, email, домен)
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.)
• LDAP (OpenLDAP, MS AD)
• Антивирусных решений (AV, EPP, EDR)
и др. ИБ/ИТ систем
Внешние сервисы обогащения
Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal
• WhoIsXMLAPI
• URLScan
• IPInfo.io
• IPgeolocation.io
• AbuseIPDB
• LOLBAS
• Kali tools
• Shodan
• ChatGPT
и др.
• VirusTotal
• WhoIsXMLAPI
• URLScan
• IPInfo.io
• IPgeolocation.io
• AbuseIPDB
• LOLBAS
• Kali tools
• Shodan
• ChatGPT
и др.
Формирование отчётности
Для каждого инцидента или статистики за выбранный период можно сформировать отчёт по собственному шаблону и дальнейшей выгрузки в виде файла или отправки по почте в различных форматах:
• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.
Отчёты могут содержать любые свойства, полученные в ходе сбора, анализа и обработки событий ИБ.
Внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик
• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.
Отчёты могут содержать любые свойства, полученные в ходе сбора, анализа и обработки событий ИБ.
Внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик
Визуализация и реагирование
Атаки и входящие в них инциденты при помощи графов связей указывают на вовлечённые объекты и включают рекомендации экспертов для интерактивного реагирования. Графы и табличные представления позволяют запускать различные команды реагирования во время работы аналитика, например:
• отправка и вывод объекта из карантина;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.
Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.
• отправка и вывод объекта из карантина;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.
Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.
Схема работы и взаимодействия с инфраструктурой
Медиа
Продукт Security Vision SOAR
Николай Сивак, ГК «Солар»: Солар взаимодействует с Security Vision как со своим стратегическим партнером
Марина Плетнёва (X5 Group): Security Vision SOAR – самое сердце оперативного реагирования
Андрей Нуйкин (Евраз): Мы решили пойти по пути максимальной автоматизации рутинных операций
Дмитрий Балдин, РусГидро: Нам очень помогла компания Security Vision
Сергей Быков, Форт Диалог: Совместно с Security Vision мы провели ряд мероприятий в регионах, по итогам которых уже пилотируем SOAR как в крупных промышленных холдингах, так и в компаниях, относящихся к МСБ
SECURITY VISION IRP/SOAR_ПРЕЗЕНТАЦИЯ (SPEAKER FILM)
SECURITY VISION IRP/SOAR ФУНКЦИИ
SECURITY VISION_ИНТЕЛЛЕКТУАЛЬНАЯ ПЛАТФОРМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Закажите демонстрацию
продукта Security Vision
Напишите нам на sales@securityvision.ru
или закажите демонстрацию
Публикации о продукте
Остались вопросы?