Security Vision сообщает о выпуске обновления для продуктов SOAR и NG SOAR

...

Security Vision SOAR – это комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS:

Preparation – Подготовка
Detection – Обнаружение
Analysis – Анализ
Containment – Сдерживание
Eradication – Устранение
Recovery – Восстановление
Post-Incident – Постинцидент

Основными преимуществами Security Vision SOAR являются:

Построение цепочки атаки (Kill Chain) – объединение связанных инцидентов в единую последовательность этапов, отображающую путь злоумышленника и эволюцию угрозы.
Объектно-ориентированное реагирование – подход, где каждый элемент инцидента (хосты, учетные записи, процессы и т. д.) рассматривается как объект с свойствами, действиями и связями.
Динамический Playbook – система сама подбирает релевантные действия по сбору дополнительной информации и выполнению действий реагированию на инцидент.
Экспертные рекомендации, которые система предоставляет аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки.

Security Vision NG SOAR дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственными SIEM и EDR.

Основными преимуществами SIEM от Security Vision являются:

Возможность создавать сложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие – с условием типа «отрицание».
Графический No-Code редактор правил корреляции, что значительно снижает порог входа и сроки адаптации аналитиков.
Оптимизация использования памяти и дискового пространства при хранении исходных событий.
При получении событий от разных источников в разрозненном порядке время синхронизируется, несмотря на сбои, и для правила корреляции цепочка восстанавливается ретроспективно.

Основными преимуществами EDR от Security Vision являются:

Глубокий мониторинг – расширение возможностей стандартного аудита ОС за счет перехвата системных событий. Перехват событий осуществляется через хуки пользовательского пространства на хостах, а также на уровне драйвера ядра как Windows, так и Linux.
Проактивная блокировка – автоматически останавливает недоверенные приложения при попытке выполнения опасных операций.
Автоматизация реагирования – интеграция с другими СЗИ, например, для отправки подозрительных файлов в Песочницу.
Возможность внесения изменений в правила корреляции EDR в едином с SIEM интерфейсе.

Новые возможности, добавленные в обновлении:

Полностью переработан интерфейс. Мы переосмыслили пользовательский опыт, разместили наиболее значимые элементы в быстром доступе, провели редизайн визуальной составляющей, чтобы повысить скорость обработки инцидентов, а также снизить время на адаптацию в продукте для новых пользователей.

Добавлен ряд новых ML-моделей:

Скоринг False Positive – модель обучается на данных по закрытым инцидентам, и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми ложноположительными случаями, и выдает результат в виде процентного соответствия.
Похожие инциденты – модель анализирует контекст инцидента, ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые также сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом.
Рекомендации по истории действий – модель подскажет аналитику, какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Таким образом новый сотрудник SOC быстрее пройдет адаптацию, даже если у него нет готовых инструкций, за счет доступа к накопленным данным о том, как обрабатываются инциденты.
Помощь по документации – теперь вопрос по продукту можно спросить у модели и получить ответ в чате.
Рекомендации по базе знаний – кроме документации, аналитик может получить в чате рекомендацию о том, какие действия следует выполнить для конкретного инцидента на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста инцидента.

Обновлен функционал построения графов достижимости критических активов. Теперь маршруты можно строить с помощью ML-движка с учетом правил маршрутизации и ACL, настроенных на сетевых устройствах в организации.

Обновлен механизм работы динамических плейбуков. Функционал получил свой интерфейс настройки условий применения атомарных действий в зависимости от контекста инцидента. Ход выполнения плейбука теперь прозрачен для пользователя, все запланированные действия, а также ход их выполнения наглядно отображаются на странице инцидента.

Добавлены связанные Threat Intelligence бюллетени. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику:

Быстрый доступ к информации о похожих атаках;
Данные о тактиках злоумышленников (TTPs);
Актуальные IOC/IOA;
Рекомендации по реагированию от поставщиков бюллетеня.

Добавлены встроенные заметки по инциденту. Аналитик может удобно фиксировать ход расследования прямо в системе, используя форматирование текста, добавляя файлы и скриншоты. Больше не нужно искать информацию в чатах или локальных файлах – все промежуточные результаты расследования всегда под рукой.

Реклама, ООО «Интеллектуальная безопасность», ИНН 7719435412, 16+

ERID: 2Vfnxwhc4Gx