Журнал "Information Security/ Информационная безопасность" #2, 2021

Основные функции SOAR реализуются в подсистеме оркестровки и автоматиза- ции, предназначенной для интеграции программно-тех- нических средств ИБ, в том числе обогащения контекста события или инцидента ИБ, определения стартовой точки для вмешательства ИБ-эксперта, автоматизации процесса реагирования. Там же 2 приводится сопо- ставление работы служб реаги- рования на инциденты ИБ без использования SOAR и с его использованием. В первом слу- чае эксперты должны занимать- ся всем множеством задач, свя- занных с расследованием инци- дента ИБ и реагированием на него, включая настройку, импле- ментацию политик и анализ средств защиты информации, мониторинг в части расследова- ния инцидента ИБ и использова- ние механизмов реагирования с получением дополнительной информации из средств класса TI, применение блокировок и временных политик. Отдельно рассматривается блок задач, связанных с планированием и, в общем случае, управлением ИБ, а также совершенствованием системы управления ИБ. Во втором случае SOAR поз- воляет экспертам сфокусиро- ваться на решении задач управ- ления, планирования и совер- шенствования системы управ- ления ИБ, используя SOAR в качестве единого интерфейса доступа к функциям управления и необходимым данным, кото- рый, в свою очередь, автомати- зирует весь перечень задач, свя- занных с реагированием на инци- денты ИБ, в том числе: извлече- ние дополнительной информа- ции, обогащение информации о событиях ИБ, скоординирован- ное управление средствами защиты информации, включая применение долгосрочных и опе- ративных политик безопасности, настройку средств защиты информации, автоматический анализ и мониторинг. Платформа SOAR и ее компоненты В качестве типовой архитекту- ры SOAR авторы предлагают сле- дующую функциональную схему, сформированную в результате анализа имеющихся на рынке решений, представленных как отечественными, так и зарубеж- ными производителями: Cortex XSOAR, Splunk Phantom, Siemplify, Swimlane SOAR, FortiSOAR, R- Vision IRP и Eplat4m SOAR. Как следует из определения, основные функции SOAR реа- лизуются в подсистеме оркест- ровки и автоматизации, предна- значенной для интеграции про- граммно-технических средств ИБ, в том числе обогащения контекста события или инциден- та ИБ, определения стартовой точки для вмешательства ИБ- эксперта, автоматизации про- цесса реагирования. В свою очередь, подсистема оркестровки и автоматизации состоит из двух модулей: 1. Модуль оркестровки обес- печивает централизованную обработку событий и инциден- тов, информация о которых поступает от СрЗИ/SIEM, а также сбор информации об угрозах из различных внешних источников. Этот модуль пред- ставлен набором коннекторов к различным системам защиты, а также механизмом управле- ния этими коннекторами, в том числе управления полномочия- ми и необходимыми учетными данными. 2. Модуль автоматизации обеспечивает этап реагирова- ния на событие или инцидент ИБ, используя механизм плей- буков. Плейбук – это технология сценариев реагирования на инциденты ИБ, которая позво- ляет задать для конкретного типа инцидента ИБ алгоритм действий по реагированию и в автоматическом режиме реа- лизовать его при срабатыва- нии определенного правила. Аналогичный инструмент может использоваться для проактивного и реактивного применения оперативных и долгосрочных политик без- опасности, в том числе для реализации установленных требований и контроля откло- нений от них. • 31 УПРАВЛЕНИЕ www.itsec.ru Рис. 1. Процессы организации до и после внедрения SOAR 2 C. Islam, M. Ali Babar, S. Nepal: A Multi-Vocal Review of Security Orchestration, 2019, DOI: 10.1145/3305268.