Спикер: Роман Душков, пресейл менеджер Security Vision
Security Vision SOAR (Security Orchestration, Automation and Response) выстраивает гибкий процесс обработки инцидентов при помощи динамических сценариев реагирования и построением цепочки атаки (kill chain) по методологии NIST. Решение осуществляет регистрацию алертов и событий ИБ (в ручном или автоматическом режиме), сбор событий в окрестности инцидента (при необходимости) и автоматизацию действий (классификацию с использованием базы техник и тактик MITRE ATT&СK, обогащение данными из внешних ИТ- и ИБ-систем, управляющие воздействия) с целью нейтрализации инцидентов и их последствий.
Основной функционал:
· динамические плейбуки (сценарии реагирования, подстраивающиеся под инцидент, его тип и объекты, которые были обнаружены);
· классификация 200+ инцидентов с применением баз знаний (внутренних или внешних, например, база 100+ техник и тактик MITRE ATT&СK);
· встроенные рекомендации по реагированию для аналитиков (в т.ч. неопытных) для 70+ техник и тактик;
· объектно-ориентированное реагирование (активные действия, выполняющиеся автоматически и/или вручную из карточек и графов связей с возможностью отмены);
· работа не только с инцидентами, но и с цепочками атак (kill chain по методологии NIST) для управления сложными инцидентами;
· сбор окрестностей инцидента и событий с Windows/Linux хостов и серверов, а также встроенный механизм корреляции и обработки потока событий (sigma-правила).