Security Vision 11 ноября 2024

Security Vision сообщила о выпуске обновленных продуктов SOAR и NG SOAR

Вышла новая версия систем автоматизированного реагирования на инциденты ИБ

Компания Security Vision представила обновленное комплексное решение SOAR, предназначенное для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS, а именно:

  1. Preparation — Подготовка
  2. Detection — Обнаружение
  3. Containment — Сдерживание
  4. Investigation — Расследование
  5. Eradication — Устранение
  6. Recovery — Восстановление
  7. Post-Incident — Пост-инцидент (работа над ошибками)

Основные отличительные особенности Security Vision SOAR:

  • Возможность построения последовательной цепочки атаки (Kill Chain), группируя инциденты по общим признакам.
  • Объектно-ориентированное реагирование — архитектура, при которой все значимые сущности инцидента такие как хосты, учетные записи, процессы, хэши и др., являются объектами со своим набором атрибутов, действий по обогащению и реагированию, а также историей и связями.
  • Динамический Playbook — система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий по сдерживанию распространения инцидента на основании сведений об объектах — участниках инцидента и их характеристиках.
  • Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки. Рекомендации формируются исходя из контекста инцидента и фазы его обработки, в том числе с помощью моделей машинного обучения.

Security Vision Next Generation SOAR (NG SOAR) дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственным движком SIEM.

Основные отличительные особенности SIEM от Security Vision:

  • Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие — с условием типа «отрицание».
  • Графический No-Code редактор правил корреляции, что снижает порог входа и сроки адаптации аналитиков.
  • Оптимизация использования памяти и дискового пространства при хранении исходных событий.
  • При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.

Новые возможности, добавленные в Security Vision SOAR и Security Vision NG SOAR:

Экспертиза БДУ ФСТЭК. Теперь в инцидентах и правилах корреляции можно оперировать не только тактиками и техниками Mitre Attack, но и угрозами и способами реализации из БДУ ФСТЭК. Для коробочных правил корреляции уже настроены соответствующие им способы реализации. 

Тепловые карты для наборов экспертизы Mitre Attack и БДУ ФСТЭК, отображающие распределение инцидентов по тактикам и способам реализации, а также их покрытие правилами корреляций.

Security Vision сообщила о выпуске обновленных продуктов SOAR и NG SOAR

ML модель для определения ложноположительных инцидентов. Модель обучается на том, какие вердикты назначают инцидентам аналитики при закрытии инцидентов, а при поступлении нового инцидента выдает вердикт о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.

Маршрут злоумышленника. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов. 

Security Vision сообщила о выпуске обновленных продуктов SOAR и NG SOAR

Граф достижимости. Система на основании данных о сегментах сети и таблицах маршрутизации сетевых устройства позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристиках.

Security Vision сообщила о выпуске обновленных продуктов SOAR и NG SOAR