Security Vision выпустила обновления для продуктов SOAR и NG SOAR

Security Vision SOAR — это комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS:

1. Preparation — Подготовка
2. Detection — Обнаружение
3. Analysis — Анализ
4. Containment — Сдерживание
5. Eradication — Устранение
6. Recovery — Восстановление
7. Post-Incident — Постинцидент

Основными отличиями Security Vision SOAR являются:

• Построение цепочки атаки (Kill Chain) — объединение связанных инцидентов в единую последовательность этапов, отображающую путь злоумышленника и эволюцию угрозы.
• Объектно-ориентированное реагирование — подход, где каждый элемент инцидента (хосты, учетные записи, процессы и т. д.) рассматривается как объект с свойствами, действиями и связями.
• Динамический Playbook — система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий реагированию на инцидент.
• Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки.

Security Vision NG SOAR дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственными SIEM и EDR.

Основными отличиями SIEM от Security Vision являются:

• Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие — с условием типа «отрицание».
• Графический No-Code редактор правил корреляции, что снижает порог входа и сроки адаптации аналитиков.
• Оптимизация использования памяти и дискового пространства при хранении исходных событий.
• При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.

Основными отличиями EDR от Security Vision являются:

• Глубокий мониторинг — расширение возможностей стандартного аудита ОС за счет перехвата системных событий. Перехват событий осуществляется через хуки пользовательского пространства на хостах, а также на уровне драйвера ядра как Windows, так и Linux.
• Проактивная блокировка — автоматически останавливает недоверенные приложения при попытке выполнения опасных операций.
• Автоматизация реагирования — интеграция с другими СЗИ, например, для отправки подозрительных файлов в Песочницу.
• Возможность внесения изменений в правила корреляции EDR в едином с SIEM интерфейсе.

Новые возможности, добавленные в обновлении:

Полностью переработан интерфейс. Мы переосмыслили пользовательский опыт, разместили наиболее значимые элементы в быстром доступе, провели редизайн визуальной составляющей, чтобы повысить скорость обработки инцидентов, а также снизить время на адаптацию в продукте для новых пользователей.

Добавлен ряд новых ML-моделей:

• Скоринг False Positive — модель обучается на данных по закрытым инцидентам, и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми ложноположительными случаями, и выдает результат в виде процентного соответствия.
• Похожие инциденты — модель анализирует контекст инцидента, ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые также сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом.
• Рекомендации по истории действий — модель подскажет аналитику, какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Таким образом новый сотрудник SOC быстрее пройдет адаптацию, даже если у него нет готовых инструкций, за счет доступа к накопленным данным о том, как обрабатываются инциденты.
• Помощь по документации — теперь вопрос по продукту можно спросить у модели и получить ответ в чате.
• Рекомендации по базе знаний — кроме документации, аналитик может получить в чате рекомендацию о том, какие действия следует выполнить для конкретного инцидента на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста инцидента.

Обновлен функционал построения графов достижимости критических активов. Теперь маршруты можно строить с помощью ML-движка с учетом правил маршрутизации и ACL, настроенных на сетевых устройствах в организации.

Обновлен механизм работы динамических плейбуков. Функционал получил свой интерфейс настройки условий применения атомарных действий в зависимости от контекста инцидента. Ход выполнения плейбука теперь прозрачен для пользователя, все запланированные действия, а также ход их выполнения наглядно отображаются на странице инцидента.

Добавлены связанные Threat Intelligence бюллетени. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику:

• быстрый доступ к информации о похожих атаках;
• данные о тактиках злоумышленников (TTPs);
• актуальные IOC/IOA;
• рекомендации по реагированию от поставщиков бюллетеня.

Добавлены встроенные заметки по инциденту. Аналитик может фиксировать ход расследования прямо в системе, используя форматирование текста, добавляя файлы и скриншоты. Больше не нужно искать информацию в чатах или локальных файлах — все промежуточные результаты расследования всегда под рукой.