Security Vision SOAR – комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS, а именно:
- Preparation — Подготовка
- Detection — Обнаружение
- Containment — Сдерживание
- Investigation – Расследование
- Eradication — Устранение
- Recovery — Восстановление
- Post-Incident — Пост-инцидент (работа над ошибками)
Основные отличительные особенности Security Vision SOAR:
- Возможность построения последовательной цепочки атаки (Kill Chain), группируя инциденты по общим признакам.
- Объектно-ориентированное реагирование – архитектура, при которой все значимые сущности инцидента такие как хосты, учетные записи, процессы, хэши и др., являются объектами со своим набором атрибутов, действий по обогащению и реагированию, а также историей и связями.
- Динамический Playbook – система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий по сдерживанию распространения инцидента на основании сведений об объектах – участниках инцидента и их характеристиках.
- Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки. Рекомендации формируются исходя из контекста инцидента и фазы его обработки, в том числе с помощью моделей машинного обучения.
Security Vision Next Generation SOAR (NG SOAR) дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственным движком SIEM.
Основные отличительные особенности SIEM от Security Vision:
- Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие – с условием типа «отрицание».
- Графический No-Code редактор правил корреляции, что значительно снижает порог входа и сроки адаптации аналитиков.
- Оптимизация использования памяти и дискового пространства при хранении исходных событий.
- При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.
Новые возможности, добавленные в Security Vision SOAR и Security Vision NG SOAR:
Экспертиза БДУ ФСТЭК. Теперь в инцидентах и правилах корреляции можно оперировать не только тактиками и техниками Mitre Attack, но и угрозами и способами реализации из БДУ ФСТЭК. Для коробочных правил корреляции уже настроены соответствующие им способы реализации.
Тепловые карты для наборов экспертизы Mitre Attack и БДУ ФСТЭК, отображающие распределение инцидентов по тактикам и способам реализации, а также их покрытие правилами корреляций.
ML модель для определения ложноположительных инцидентов. Модель обучается на том, какие вердикты назначают инцидентам аналитики при закрытии инцидентов, а при поступлении нового инцидента выдает вердикт о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.
Маршрут злоумышленника. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.
Граф достижимости. Система на основании данных о сегментах сети и таблицах маршрутизации сетевых устройства позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристиках.
Оригинал публикации на сайте CISOCLUB: "Security Vision сообщает о выпуске обновленных продуктов SOAR и NG SOAR".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.