SOAR

Security Orchestration, Automation and Response

Управление инцидентами

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков, ИИ-помощников и построения цепочки атаки для реагирования на группы инцидентов с объектно-ориентированным подходом

# IRP, SOC, СЗИ, инциденты, события ИБ, Kill Chain, плейбуки, тикетинг, реагирование, NIST, MITRE

Материалы

Документация

Security Vision SOAR (презентация) application/pdf 2918374 Байт Security Vision SOAR (описание) application/pdf 190563 Байт

Обзор продукта

Security Vision SOAR снижает влияние человеческого фактора, повышает скорость реакции на инциденты, выстраивает проактивную защиту в соответствии с международными стандартами информационной безопасности.

Решение агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST с предоставлением экспертных рекомендаций на различных этапах управления инцидентами.

Применение продукта

Динамические плейбуки и база MITRE

Плейбуки, автоматически выстраиваемые для 200+ типов инцидентов в зависимости от подключённых СЗИ (SIEM, UEBA, AV/EDR, NGFW, WAF, Proxy и др.) и ИТ-систем, 100+ техник и тактик MITRE ATT&K, а также встроенные рекомендации экспертов на разных этапах работы с инцидентами

Построение Kill Chain и адаптивное реагирование

Автоматическое построение цепочки атаки и объектно-ориентированно реагирование, подбирающее действия в зависимости от типов объектов (внутренний/внешний хост, учётная запись, адрес электронной почты, URL-адрес, ВПО, процесс, уязвимость)

Методология NIST и встроенные рекомендации

В зависимости от типов инцидентов и атак в карточках и графах связей доступны рекомендации экспертов на различных этапах: первичный анализ, расширенное сдерживание, первичное реагирование и пост-инцидент

Примеры и интеграции

ИИ-помощники

Встроенные модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами: система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложно-положительных срабатываний (False Positive) и снижения нагрузки на персонал.

Интеграция с внешними LLM-моделями (например, YandexGPT и ChatGPT) позволяет в рамках обработки инцидентов и работы в команде обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.

Жизненный цикл инцидента по NIST

1) Подготовка описания сервисов, СЗИ, списков исключений, состава команд SOC и др. инструментов и процессов;
2) Обогащение данными в окрестностях инцидента;
3) Анализ и классификация, сбор цифровых свидетельств;
4) Сдерживание и изоляция учётных записей, хостов, URL/Email/доменов;
5) Реагирование на основе ключевых объектов: 70+ преднастроенных действий для хостов, 20+ для УЗ, и другие типы объектов;
6) Восстановление скомпрометированных объектов из бэкапа, разблокировка;
7) Пост-инцидент, недопущения повторения аналогичных инцидентов.

Часто встречаемые источники данных

Сведения о событиях и инцидентах собираются, например, из:
• SIEM (в т.ч. с подключёнными логами аудита)
• NGFW (сетевая телеметрия, управление хостами)
• WAF (логи)
• Proxy-серверов (логи)
• Email-серверов (антиспам списки, блокировка)
• Конечных узлов (слепок узла, установленное ПО)
• Сканеров уязвимостей (технические уязвимости, критичность)
• Средств обогащения IoC (хэш, IP, email, домен)
• аналитических сервисов (MITRE, VirusTotal, LOLBAS, URLScan, WhoisXML и др.)
• LDAP (OpenLDAP, MS AD)
• Антивирусных решений (AV, EPP, EDR)
и др. ИБ/ИТ систем

Внешние сервисы обогащения

Дополнительные сведения об индикаторах пополняются, например, из:
• VirusTotal
• WhoIsXMLAPI
• URLScan
• IPInfo.io
• IPgeolocation.io
• AbuseIPDB
• LOLBAS
• Kali tools
• Shodan
• ChatGPT
и др.

Формирование отчётности

Для каждого инцидента или статистики за выбранный период можно сформировать отчёт по собственному шаблону и дальнейшей выгрузки в виде файла или отправки по почте в различных форматах:
• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.

Отчёты могут содержать любые свойства, полученные в ходе сбора, анализа и обработки событий ИБ.

Внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик.

Визуализация и реагирование

Атаки и входящие в них инциденты при помощи графов связей указывают на вовлечённые объекты и включают рекомендации экспертов для интерактивного реагирования. Графы и табличные представления позволяют запускать различные команды реагирования во время работы аналитика, например:
• отправка и вывод объекта из карантина;
• блокирование трафика для IP-адреса;
• добавление URL в политику Web-control
• завершение процессов и служб на хосте;
• завершение сеанса пользователя или смена пароля;
и др. действия, которые могут быть отменены, что дополнительно отображается в интерфейсе.

Карточки и табличные представления для любых типов объектов можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений.

Схема работы и взаимодействия с инфраструктурой

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России и входит в реестр отечественного ПО.