Security Vision сообщает о выходе обновления SOAR

Компания Security Vision выпустила новую версию своей платформы для автоматизации реагирования на инциденты информационной безопасности (SOAR). Основное внимание в обновлении уделено инструментам, повышающим эффективность работы SOC: локальному ИИ-ассистенту, ML-модели оценки критичности инцидентов и функции автоматического формирования итогового резюме расследования.

Платформа по-прежнему реализует объектно-ориентированный подход к обработке инцидентов — каждый элемент (хост, учетная запись, процесс, артефакт) рассматривается как отдельный объект с атрибутами, связями и доступными действиями. Поддерживается динамическая адаптация плейбуков под меняющийся контекст атаки, автоматическое построение цепочки компрометации (Kill Chain) и рекомендации на основе исторических данных и экспертных знаний.

Локальный ИИ-ассистент — без передачи данных за пределы инфраструктуры

Новый ИИ-ассистент интегрирован в виде чат-интерфейса и работает полностью в контуре заказчика. Он обучен на методологиях реагирования по NIST/SANS, внутренней документации и справочных данных по информационной безопасности. Ассистент учитывает фазу инцидента, историю действий, связанные объекты и схожие кейсы, помогая аналитику быстрее интерпретировать события — от расшифровки Windows Event ID до подбора команд диагностики.

Модель поддерживает дообучение на основе реальных инцидентов, внутренних бюллетеней и материалов экспертного сообщества, оставаясь изолированной от внешних систем. Это делает ее применимой в регулируемых и изолированных средах с повышенными требованиями к конфиденциальности. Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

ML-скоринг и автоматическое резюме инцидентов

Для ускорения триажа внедрена ML-модель, оценивающая критичность инцидента на основе набора признаков — включая масштаб события и значимость затронутых активов. Это позволяет SOC оперативно выделять наиболее опасные случаи.

При закрытии инцидента система автоматически формирует структурированное резюме (ML-summary), отражающее: суть произошедшего, выполненные действия, достигнутый результат и степень успеха атакующего. Такой подход стандартизирует отчетность, снижает потери контекста между сменами и упрощает управленческий анализ.

Обновленная платформа также сохраняет глубокую интеграцию с SIEM, EDR, NGFW, WAF и другими классами средств защиты, поддерживает оркестрацию реакций, обогащение данных через TI-сервисы и взаимодействие с ITSM-системами (Jira, Naumen, OTRS и др.). Новые функции ориентированы на практическое снижение нагрузки на аналитиков, сокращение времени реагирования и сохранение организационных знаний.