Журнал "Information Security/ Информационная безопасность" #5, 2025

Компоненты решения Security Vision NG SOAR 1 определяют типы инцидентов и автоматически запускают процессы реагирования. Технологический компонент включает в себя набор решений, направленных на защиту корпоративной инфраструк- туры от киберугроз: l SOAR – ядро системы с подключен- ными источниками данных, l EDR-агент – для реагирования на рабочих местах, l AM – модуль управления активами для учета особенностей ИТ-ландшафта и связи автоматизации и задач бизнеса. Дополнением могут выступать интег- рации с центрами реагирования Гос- СОПКА (НКЦКИ) и ФинЦЕРТ (ЦБ) – для двустороннего обмена данными, сбора бюллетеней и оповещений, отправки оповещений и работы с задача- ми регуляторов. SIEM отвечает за сбор, упорядочение и хранение событий ИБ из различных систем, а также их анализ и корреляцию для поиска инцидентов. Помимо инстру- ментов классического SIEM на основе правил корреляции, специальный No- Code-движок позволяет организовать макрокорреляцию и определять после- довательность действий в любых ком- бинациях без необходимости написания скриптов. Специалисты – незаменимое звено работы эффективной системы. Для них организована визуализация данных, интерактивные инструменты в виде гра- фов связей с действиями, доступными прямо из объектов, встроенные ИИ- помощники , ML-модели и рекомен- дации экспертов , позволяющие соста- вить пошаговые стратегии действий. Процессы реагирования включают в себя анализ инцидентов, их классифи- кацию и обогащение данными из внеш- них источников, а также настройки поли- тик для автоматического реагирования и другие действия, связанные с подго- товкой к инцидентам и Lessons Learned. В основе решения Security Vision NG SOAR находится уникальная техно- логия динамических плейбуков – сценариев реагирования, которые авто- матически подстраиваются под окруже- ние и вызывают друг друга в зависимо- сти от изменения контекста инцидента. Эта концепция позволяет учитывать спе- цифику каждого события и доступные действия по сдерживанию и нейтрали- зации инцидентов. Система анализирует событие и его атрибуты (используемые техники атак, задействованные объекты и доступные СЗИ) и автоматически фор- мирует соответствующий плейбук, используя встроенные атомарные сце- нарии реагирования. Благодаря ретро- спективному анализу связанных с инци- дентом данных, можно выявить цепочки атак и разработать оптимальный план реагирования. Процесс работы Security Vision NG SOAR включает в себя все фазы обра- ботки инцидентов и решает задачи фокусного реагирования на угрозы ИБ полного цикла. Каждый этап обработки инцидентов полностью автоматизирован и реализован с использованием совре- менного объектно-ориентированного подхода. Функционал управления актива- ми и инвентаризацией позволяет расширить классический подход с помощью выстраивания ресурсно-сер- висной модели. Это помогает фокуси- роваться на критичных бизнес-процес- сах, объектах, отдельных помещениях и целых информационных системах – вместо того чтобы реагировать на инци- денты по порядку их возникновения или следовать параметрам конфиден- циальности, целостности и доступности активов. Для быстрого доступа к мировой экс- пертизе в Security Vision NG SOAR зало- жен маппинг инцидентов с бюллетенями Threat Intelligence : система автома- тически связывает инциденты с публич- ными TI-отчетами при совпадении атри- бутивного состава (актуальные IoC/IoA, данные о тактиках злоумышленников и используемых инструментах, страте- гическая атрибуция и рекомендации от поставщиков бюллетеней). Сведения об объектах внутри компа- нии используются и дополняются моде- лью процессов и задач бизнеса, а соби- раемые с СЗИ алерты автоматически пополняются данными от экспертов по 14 • СПЕЦПРОЕКТ Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе ля построения SOC на продуктах Security Vision использу- ется принцип интеграции трех ключевых компонентов: техно- логий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разно- го масштаба прозрачным, а также помогает объединить авто- матизацию и СЗИ в экосистему. Д Роман Душков, эксперт Security Vision Рисунок: Security Vision Фото: Security Vision 1 https://www.securityvision.ru/products/ng-soar/