Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
Автор: Роман Душков, эксперт Security Vision
Компоненты решения Security Vision NG SOAR [1] определяют типы инцидентов и автоматически запускают процессы реагирования.
Технологический компонент включает в себя набор решений, направленных на защиту корпоративной инфраструктуры от киберугроз:
- SOAR – ядро системы с подключенными источниками данных,
- EDR-агент – для реагирования на рабочих местах,
- AM – модуль управления активами для учета особенностей ИТ-ландшафта и связи автоматизации и задач бизнеса.
Дополнением могут выступать интеграции с центрами реагирования ГосСОПКА (НКЦКИ) и ФинЦЕРТ (ЦБ) – для двустороннего обмена данными, сбора бюллетеней и оповещений, отправки оповещений и работы с задачами регуляторов.
SIEM отвечает за сбор, упорядочение и хранение событий ИБ из различных систем, а также их анализ и корреляцию для поиска инцидентов. Помимо инструментов классического SIEM на основе правил корреляции, специальный No-Code-движок позволяет организовать макрокорреляцию и определять последовательность действий в любых комбинациях без необходимости написания скриптов.
Специалисты – незаменимое звено работы эффективной системы. Для них организована визуализация данных, интерактивные инструменты в виде графов связей с действиями, доступными прямо из объектов, встроенные ИИ-помощники, ML-модели и рекомендации экспертов, позволяющие составить пошаговые стратегии действий.
Процессы реагирования включают в себя анализ инцидентов, их классификацию и обогащение данными из внешних источников, а также настройки политик для автоматического реагирования и другие действия, связанные с подготовкой к инцидентам и Lessons Learned.
В основе решения Security Vision NG SOAR находится уникальная технология динамических плейбуков – сценариев реагирования, которые автоматически подстраиваются под окружение и вызывают друг друга в зависимости от изменения контекста инцидента. Эта концепция позволяет учитывать специфику каждого события и доступные действия по сдерживанию и нейтрализации инцидентов. Система анализирует событие и его атрибуты (используемые техники атак, задействованные объекты и доступные СЗИ) и автоматически формирует соответствующий плейбук, используя встроенные атомарные сценарии реагирования. Благодаря ретроспективному анализу связанных с инцидентом данных, можно выявить цепочки атак и разработать оптимальный план реагирования.
Процесс работы Security Vision NG SOAR включает в себя все фазы обработки инцидентов и решает задачи фокусного реагирования на угрозы ИБ полного цикла. Каждый этап обработки инцидентов полностью автоматизирован и реализован с использованием современного объектно-ориентированного подхода.
Функционал управления активами и инвентаризацией позволяет расширить классический подход с помощью выстраивания ресурсно-сервисной модели. Это помогает фокусироваться на критичных бизнес-процессах, объектах, отдельных помещениях и целых информационных системах – вместо того чтобы реагировать на инциденты по порядку их возникновения или следовать параметрам конфиденциальности, целостности и доступности активов.
Для быстрого доступа к мировой экспертизе в Security Vision NG SOAR заложен маппинг инцидентов с бюллетенями Threat Intelligence: система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава (актуальные IoC/IoA, данные о тактиках злоумышленников и используемых инструментах, стратегическая атрибуция и рекомендации от поставщиков бюллетеней).
Сведения об объектах внутри компании используются и дополняются моделью процессов и задач бизнеса, а собираемые с СЗИ алерты автоматически пополняются данными от экспертов по всему миру. Помимо автоматизации реагирования на уже изученные инциденты, решение предоставляет аналитикам широкий набор инструментов для защиты от сложных и новых типов кибератак.
Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре с отображением времени компрометации узлов сети и используемых злоумышленником артефактов. Цепочка атаки и хронология событий выстраиваются при помощи сбора артефактов и нормализации данных с применением ИИ. Система с помощью ML-модели анализирует данные о сегментах сети и таблицах маршрутизации и отображает на карте возможные пути распространения инцидента на основе сведений о скомпрометированных узлах и их характеристиках (см. рис. 1).
Граф связей является инструментом аналитики и дополнен рекомендациями экспертов Security Vision на различных этапах обработки с подключением внешних ML-моделей. Специальный вид графа достижимости помогает не только визуализировать возможные исходы инцидента, но и позволяет запускать различные действия управления средствами защиты и устройствами компании без перехода в карточки или настройки (см. рис. 2).
В продукт заложены коммуникационные возможности: в чате внутри компании и с помощью набора ИИ-ассистентов, которые выполняют различные задачи без участия сотрудников:
- Скоринг False Positive использует ML-модули для определения ложноположительных инцидентов и обучается на вердиктах, которые назначают инцидентам аналитики.
- Инструмент "Поиск похожих" анализирует контекст и позволяет аналитику увидеть находящиеся в работе инциденты, изучать, как обрабатывались схожие ситуации ранее.
- Рекомендации по истории действий подсказывают аналитику, какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Этот инструмент обеспечивает возможность новому сотруднику SOC быстрее адаптироваться даже без готовых инструкций – за счет доступа к накопленным данным о том, как обрабатываются инциденты.
- Рекомендации по базе знаний, какие действия следует выполнить для конкретного случая на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста события.
- Помощь по документации расширяет существующий интерактивный справочник встроенной LLM-моделью, от которой в чате можно получить все ответы.
Конструктор коннекторов для интеграций любых систем посредством Low-Code, средства оркестрации и автоматизации, аналитические инструменты – все эти компоненты построены на базе единой прозрачной платформы, позволяющей пользователям адаптировать работу до тончайших деталей:
- управлять логикой и политиками (матрицы и деревья решений);
- настраивать внешний вид и доступы (ролевая модель, конструктор меню и мультиарендность);
- автоматизировать максимум действий (конструктор рабочих процессов);
- создавать собственные интеграции (конструктор коннекторов);
- модифицировать существующие и разрабатывать новые представления данных в форме карточек и таблиц (конструктор объектов);
- создавать шаблоны документов, например, выгружаемых по расписанию (конструктор отчетов).
Существуют отдельные решения для точечных задач, а также экосистемы вендоров, в которых продукты тесно связаны друг с другом. Но подход Security Vision несколько иной: если есть решение, работой которого вы довольны, то его не нужно замещать. Таких решений могут быть десятки, и главной целью текущей платформы становятся: объединение потоков данных, интеграция разрозненных систем, применение продвинутых процессов и технологий для обработки всей информации в рамках одной консоли, в которую можно добавлять любые продукты.
Реклама: ООО "Интеллектуальная безопасность". ИНН 7719435412. Erid: 2SDnjeQv4SV