Security Vision выпустила обновление SOAR

Security Vision сообщила о выходе обновления SOAR, решения для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.

Ключевые особенности Security Vision SOAR:

Объектно-ориентированный подход к реагированию: каждый элемент инцидента (хост, учётная запись, процесс, артефакт) рассматривается как объект со своими атрибутами, историей, связями и доступными действиями.

Динамические плейбуки: сценарии расследования и реагирования адаптируются по мере изменения контекста инцидента — при появлении новых объектов, техник MITRE ATT&CK, результатов анализа и обогащения.

Построение Kill Chain: механизм автоматически объединяет инциденты в единую последовательность этапов (в том числе с помощью дополнительных запросов недостающих сведений), показывает путь злоумышленника и эволюцию атаки.

Экспертные рекомендации: система подсказывает какие должны быть следующие шаги обработки инцидента. Учитывается контекст инцидента и накопленный опыт внутри SOC. На основе экспертной базы и ML-моделей оценивается вероятность FP, система находит схожие инциденты и рекомендуют действия, выполнявшиеся в подобных кейсах.

Security Vision SOAR обеспечивает оркестрацию средств защиты, аналитических сервисов и объектов инфраструктуры:

Интеграции с СЗИ: основными источниками инцидентов выступают SIEM, EDR, AV, NGFW, WAF, антиспам и другие классы решений. Большинство интеграций двусторонние — от получения данных до активного реагирования из единой консоли управления.

Взаимодействие с активами: модуль управления активами поддерживает идентификацию, инвентаризацию и получение данных как через внешние системы, так и при прямом обращении к объектам инфраструктуры.

Обогащение артефактов: в продукт заложен богатый набор интеграций как с общедоступными, так и работающими по подписке аналитическими сервисами.

Аналитические инструменты: встроенные сервисы аналитики оценивают зоны потенциального воздействия и возможные направления развития инцидента, а также выполняют автоматическую связку инцидентов с TI-бюллетенями.

Расчет достижимости активов: система автоматически выстраивает маршруты до наиболее критических и стратегических активов Компании, позволяя прогнозировать развитие атаки и будущих действий злоумышленника.

Встроенная система задач с жизненным циклом и интеграция с популярными системами заявок/ITSM (Jira, Naumen, OTRS и др.) позволяют координировать работу SOC и взаимодействовать со смежными подразделениями в едином контуре.

В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения.

Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре заказчика.

ИИ-ассистент поможет в таких вопросах как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего.

Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности.

В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC.

Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов.

При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая: что произошло; что было сделано при расследовании; какие действия были предприняты; какой получен результат; удалось ли что-то атакующему.

Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности.

Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя: быстрее интерпретировать события и артефакты; получать более точные рекомендации по реагированию; снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов; сократить время на триаж инцидентов благодаря ML-оценке критичности; снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.