Интеграция «СерчИнформ КИБ» с IRP R-Vision

--> Дата: Фев 7, 2022 81

Компания «СерчИнформ» сообщила, что реализовала интеграцию своей DLP-системы «СерчИнформ КИБ» с SOC-системой R-Vision Incident Response Platform (IRP). R-Vision IRP представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности. Программа собирает информацию об инцидентах из разных систем (DLP-систем, SIEM-систем и т.д) и предоставляет ее в едином окне оперативного реагирования. Это позволяет не только повысить скорость реакции на инциденты, но и оценить их в комплексе с событиями смежных систем безопасности.

Для подключения интеграции пользователям «СерчИнформ КИБ» достаточно выбрать соответствующую настройку в меню AlertCenter – консоли для работы с инцидентами, создать и настроить правило взаимодействия. После этого инциденты будут передаваться в понятном для IRP R-Vision виде. Например, при отправке сотрудником по почте конфиденциальной информации конкурентам, уведомление об инциденте придет не только в «СерчИнформ КИБ», но и продублируется в платформе R-Vision. В SOC-системе будет отображаться инцидент с теми атрибутами, которые были настроены раньше: тип инцидента, дата создания, уровень опасности, статус и прочая подробная информация о зафиксированном событии.

Как поясняют в «СерчИнформ», ранее инциденты отдавали через syslog или SMTP, что было неудобно. Во-первых, такой способ интеграции обеспечивал одностороннюю связь, т. е. КИБ передавал инцидент, но было не ясно, отобразит ли его корректно SOC-система. Сейчас же системы без проблем понимают друг друга. Во-вторых, через syslog или SMTP можно было передать далеко не все интересующие пользователя данные. Кроме того, каждому заказчику для разбора инцидентов приходилось совершать однотипные действия: вручную настраивать пересылку, создавать правила обработки и визуализации. Текущая интеграция существенно упрощает работу за счет стандартизации, формат которой был выработан «СерчИнформ» совместно с R-Vision.

В планах «СерчИнформ» интегрировать в платформу R-Vision еще одну консоль КИБа – Analytic Console, которая собирает всю информацию по пользователю и служит для поиска и углубленного анализа собранных данных, а также для наблюдения за компьютерами работников в режиме реального времени. Благодаря этому через SOC-систему можно будет не только контролировать инциденты, но и расследовать их.