Журнал "Information Security/ Информационная безопасность" #5, 2025

всему миру. Помимо автоматизации реагирования на уже изученные инци- денты, решение предоставляет анали- тикам широкий набор инструментов для защиты от сложных и новых типов кибе- ратак. Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре с отображением вре- мени компрометации узлов сети и используемых злоумышленником арте- фактов. Цепочка атаки и хронология событий выстраиваются при помощи сбора артефактов и нормализации дан- ных с применением ИИ. Система с помо- щью ML-модели анализирует данные о сегментах сети и таблицах маршрутиза- ции и отображает на карте возможные пути распространения инцидента на основе сведений о скомпрометирован- ных узлах и их характеристиках (см. рис. 1). Граф связей является инструментом аналитики и дополнен рекомендациями экспертов Security Vision на различных этапах обработки с подключением внеш- них ML-моделей. Специальный вид графа достижимости помогает не только визуализировать возможные исходы инцидента, но и позволяет запускать различные действия управления сред- ствами защиты и устройствами компании без перехода в карточки или настройки (см. рис. 2). В продукт заложены коммуникацион- ные возможности: в чате внутри компа- нии и с помощью набора ИИ-ассистен- тов, которые выполняют различные зада- чи без участия сотрудников: l Скоринг False Positive использует ML-модули для определения ложнопо- ложительных инцидентов и обучается на вердиктах, которые назначают инци- дентам аналитики. l Инструмент "Поиск похожих" анализирует контекст и позволяет ана- литику увидеть находящиеся в работе инциденты, изучать, как обрабатывались схожие ситуации ранее. l Рекомендации по истории дей- ствий подсказывают аналитику, какие действия выполнялись на разных фазах при расследовании подобных инциден- тов в прошлом. Этот инструмент обес- печивает возможность новому сотруд- нику SOC быстрее адаптироваться даже без готовых инструкций – за счет доступа к накопленным данным о том, как обра- батываются инциденты. l Рекомендации по базе знаний , какие действия следует выполнить для конкретного случая на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты, даст краткий ответ с учетом всего контекста события. l Помощь по документации рас- ширяет существующий интерактивный справочник встроенной LLM-моделью, от которой в чате можно получить все ответы. Конструктор коннекторов для интег- раций любых систем посредством Low- Code, средства оркестрации и автома- тизации, аналитические инструменты – все эти компоненты построены на базе единой прозрачной платформы, позво- ляющей пользователям адаптировать работу до тончайших деталей: l управлять логикой и политиками (мат- рицы и деревья решений); l настраивать внешний вид и доступы (ролевая модель, конструктор меню и мультиарендность); l автоматизировать максимум действий (конструктор рабочих процессов); l создавать собственные интеграции (конструктор коннекторов); l модифицировать существующие и разрабатывать новые представления данных в форме карточек и таблиц (конструктор объектов); l создавать шаблоны документов, например, выгружаемых по расписанию (конструк- тор отчетов). Существуют отдельные решения для точечных задач, а также экосистемы вендоров, в которых продукты тесно связаны друг с другом. Но подход Security Vision несколько иной: если есть решение, работой которого вы довольны, то его не нужно замещать. Таких решений могут быть десятки, и главной целью текущей платформы становятся: объединение потоков дан- ных, интеграция разрозненных систем, применение продвинутых процессов и технологий для обработки всей информации в рамках одной консоли, в которую можно добавлять любые продукты. l • 15 SOC + SOAR www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ SECURITY VISION см. стр. 74 NM Реклама Рис. 1. Граф связей в Security Vision NG SOAR Рисунок: Security Vision Рис. 2. Управление СЗИ через граф связи в Security Vision SOAR NG Рисунок: Security Vision