Компания Security Vision представила крупное обновление своей платформы для автоматизации реагирования на инциденты — SOAR. Обновление включает переработанный интерфейс, новые функции на базе машинного обучения и улучшенные механизмы работы с инцидентами.
Основные изменения:
- Полный редизайн интерфейса. В новом пользовательском интерфейсе переработана логика отображения элементов, чтобы ускорить работу с инцидентами и упростить адаптацию новых аналитиков.
- Интеграция ML-моделей:
- Оценка ложных срабатываний. Система сравнивает новый инцидент с ранее закрытыми и оценивает вероятность, что он не представляет опасности.
- Поиск похожих инцидентов. Алгоритм автоматически предлагает аналитику кейсы с аналогичным контекстом.
- Подсказки по действиям. На основе истории расследований система рекомендует, какие шаги были эффективны в похожих ситуациях.
- Интерактивная помощь. Аналитики могут задавать вопросы по продукту в чате и получать ответы от модели.
- Контекстные рекомендации. Встроенный ИИ предлагает конкретные действия для инцидента с учётом фазы обработки и накопленных знаний по реагированию.
- Новый механизм построения маршрутов до критичных активов. Теперь при расчёте достижимости учитываются маршрутизация и ACL, а также применяется ML-движок.
- Обновление динамических плейбуков. Появился отдельный интерфейс для настройки условий, а ход выполнения плейбука стал наглядным — все шаги отображаются в интерфейсе инцидента.
- Автоматическая привязка к TI-бюллетеням. При совпадении атрибутов инцидента с данными из открытых источников система подтягивает связанные отчёты, включая тактики атак, IOC/IOA и рекомендации по реагированию.
- Встроенные заметки. Аналитики могут вести журнал расследования прямо внутри системы: добавлять текстовые записи, файлы, скриншоты и использовать форматирование. Это избавляет от необходимости хранить промежуточные данные в сторонних системах.
