Byte/RE ИТ-издание

Новости

Обновленные ИБ-решения Security Vision

Безопасность
--> 0

Компания Security Vision сообщила о выпуске обновлений своих продуктов для обработки инцидентов информационной безопасности – SOAR и NG SOAR.

Security Vision SOAR – это комплексное решение для обработки ИБ-инцидентов на всех этапах их жизненного цикла согласно методологии NIST/SANS: подготовка, обнаружение, анализ, сдерживание, устранение, восстановление, постинцидент. В числе основных возможностей Security Vision SOAR: построение цепочки атаки (Kill Chain); объектно-ориентированное реагирование; динамический Playbook; экспертные рекомендации аналитику, работающему над инцидентом на протяжении всего жизненного цикла его обработки.

Security Vision NG SOAR дополняет этот функционал механизмом автоматизированного взаимодействия с НКЦКИ и ФинЦЕРТ, а также собственными SIEM и EDR. Основные возможности SIEM от Security Vision: создание сложных правил корреляции с многоуровневой вложенностью условий; графический No-Code редактор правил корреляции; оптимизация использования памяти и дискового пространства при хранении исходных событий; синхронизация времени при получении событий от разных источников в разрозненном порядке.

В EDR от Security Vision реализованы глубокий мониторинг за счет перехвата системных событий; проактивная блокировка; автоматизация реагирования и интеграция с другими СЗИ; возможность внесения изменений в правила корреляции EDR в едином с SIEM интерфейсе.

В обновлении решений полностью переработан интерфейс – исходя из пользовательского опыта разработчики разместили наиболее значимые элементы в быстром доступе, провели редизайн визуальной составляющей, чтобы повысить скорость обработки инцидентов, а также снизить время на адаптацию в продукте для новых пользователей.

Добавлен ряд новых ML-моделей:

•              Скоринг False Positive – модель обучается на данных по закрытым инцидентам, и при поступлении нового инцидента система оценивает, насколько он схож с ранее закрытыми ложноположительными случаями, и выдает результат в виде процентного соответствия.

•              Похожие инциденты – модель анализирует контекст инцидента, ищет и показывает похожие кейсы. Это позволяет аналитику увидеть подобные инциденты, которые также сейчас в работе, и посмотреть, как обрабатывались схожие ситуации в прошлом.

•              Рекомендации по истории действий – модель подскажет аналитику, какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Таким образом новый сотрудник SOC быстрее пройдет адаптацию, даже если у него нет готовых инструкций, за счет доступа к накопленным данным о том, как обрабатываются инциденты.

•              Помощь по документации – теперь вопрос по продукту можно спросить у модели и получить ответ в чате.

•              Рекомендации по базе знаний – кроме документации, аналитик может получить в чате рекомендацию о том, какие действия следует выполнить для конкретного инцидента на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста инцидента.

Обновлен функционал построения графов достижимости критических активов. Теперь маршруты можно строить с помощью ML-движка с учетом правил маршрутизации и ACL, настроенных на сетевых устройствах в организации.

Обновлен также механизм работы динамических плейбуков. Функционал получил свой интерфейс настройки условий применения атомарных действий в зависимости от контекста инцидента. Ход выполнения плейбука теперь прозрачен для пользователя, все запланированные действия, а также ход их выполнения наглядно отображаются на странице инцидента.

Добавлены связанные бюллетени Threat Intelligence. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику быстрый доступ к информации о похожих атаках, данные о тактиках злоумышленников (TTPs), актуальные IOC/IOA, рекомендации по реагированию от поставщиков бюллетеня.

Добавлены встроенные заметки по инциденту. Аналитик может фиксировать ход расследования прямо в системе, используя форматирование текста, добавляя файлы и скриншоты. Теперь не нужно искать информацию в чатах или локальных файлах – все промежуточные результаты расследования всегда под рукой.

Вам также могут понравиться

Управление уязвимостями на платформе Security Vision 5

ИБ-продукты Security Vision для сегмента SMB

Разделение SIEM и Log Analyzer в новом релизе ОС UserGate

Решение Innostage для управления инцидентами ИБ

Кроссплатформенное решение «Солар» на основе Solar DAG

Сервис Cloud.ru для инференса больших языковых моделей