Byte/RE ИТ-издание

Новости

Обновленное ПО Security Vision для обработки инцидентов ИБ

Безопасность
--> 0

Компания Security Vision сообщила о выпуске обновленных продуктов SOAR и NG SOAR. Security Vision SOAR – это комплексное решение для обработки инцидентов информационной безопасности на всех этапах их жизненного цикла согласно методологии NIST/SANS, а именно: preparation (подготовка), detection (обнаружение), containment (сдерживание), investigation (расследование), eradication (устранение), recovery (восстановление), post-Incident (пост-инцидент (работа над ошибками).

Решение Security Vision SOAR позволяет строить последовательную цепочку атаки (Kill Chain), группируя инциденты по общим признакам. В нем реализовано объектно-ориентированное реагирование – архитектура, при которой значимые сущности инцидента, такие как хосты, учетные записи, процессы, хэши и др., являются объектами со своим набором атрибутов, действий по обогащению и реагированию, а также историей и связями.

Динамический Playbook в SOAR предполагает, что система сама подбирает релевантные действия по сбору дополнительной информации и сдерживанию распространения инцидента на основании сведений об объектах – участниках инцидента и их характеристиках.

Наконец, система система предоставляет экспертные рекомендации аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки. Рекомендации формируются исходя из контекста инцидента и фазы его обработки, в том числе с помощью моделей машинного обучения.

Решение Security Vision Next Generation SOAR (NG SOAR) дополняет перечисленные выше возможности механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственным движком SIEM.

В числе новых возможностей, добавленных в Security Vision SOAR и NG SOAR:

  • экспертиза БДУ ФСТЭК – теперь в инцидентах и правилах корреляции можно оперировать не только тактиками и техниками Mitre Attack, но и угрозами и способами реализации из БДУ ФСТЭК. Для коробочных правил корреляции уже настроены соответствующие им способы реализации;
  • тепловые карты для наборов экспертизы Mitre Attack и БДУ ФСТЭК – отображают распределение инцидентов по тактикам и способам реализации, а также их покрытие правилами корреляций;
  • ML-модель для определения ложноположительных инцидентов – она обучается на том, какие вердикты назначают инцидентам аналитики при закрытии инцидентов, а при поступлении нового инцидента выдает вердикт о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive;
  • маршрут злоумышленника – система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов;
  • граф достижимости – на основании данных о сегментах сети и таблицах маршрутизации сетевых устройства система позволяет аналитику отобразить на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристиках.
Вам также могут понравиться

Новый релиз ПО «Базис» для защиты данных в средах виртуализации

Утилита BI.ZONE Triage для macOS

Обновленное средство управления уязвимостями Security Vision

Новый релиз Xello Deception

«Гарда Аналитика» с расширенными средствами оценки рисков

Интеграция платформы Security Vision с сервисом TI от «Гарда»