Журнал "Information Security/ Информационная безопасность" #5, 2025

l минимизировать когнитивную нагрузку на аналитиков в части сортировки опо- вещений, ранжирования и приоритиза- ции событий и инцидентов; l минимизировать трудозатраты на изучение различных сложных систем, а также на переключение между ними, снизить порог входа; l максимально сфокусироваться на главном – анализе угроз и инцидентов для быстрого принятия решения в рамках одного пользовательского интерфейса. Единая платформа SOAR+SIEM повы- шает прозрачность инфраструктуры: аналитики работают с общим реестром активов, сформированным через ска- нирование и интеграции со средствами защиты. Аудит источников в SIEM помо- гает находить активы вне мониторинга, а ресурсно-сервисная модель и визуа- лизация цепочки атаки ускоряют сдер- живание и расследование инцидентов. SOAR и SIEM в этом случае выступают не как два продукта, а как единое тех- нологически интегрированное решение. На примере SOAR и SIEM на плат- форме R-Vision EVO 2 подробнее рас- смотрим современные возможности архитектурных решений, перекрываю- щие те самые особенности и сложности технологического стека инструментов SOC, о которых было написано ранее. ClickHouse для быстрой обработки данных Колоночная СУБД ClickHouse позво- ляет работать не с отдельными транзак- циями, как раньше, а с целыми потоками информации, обеспечивая беспрецедент- ную скорость анализа событий безопас- ности даже в моменты пиковых нагрузок во время атак. По мнению команды Yan- dex Cloud, архитектура ClickHouse обра- батывает миллиарды строк в секунду. Высокопроизводительная платформа Vector Vector – легкий и быстрый инструмент для построения конвейеров наблюдения, позволяющий собирать, обрабатывать и маршрутизировать журналы событий. В R-Vision SIEM он обеспечивает работу с большими корреляционными окнами и высокой нагрузкой (более 500 тыс. EPS), представлен в виде наглядного графического конвейера, адаптируемого под инфраструктуру организации. Улучшенная контейнеризация Платформа оркестрации Kubernetes поддерживает декларативный подход, позволяющий определять желаемое состояние инфраструктуры в конфигу- рационных файлах, что реализует прин- цип “инфраструктура как код” (Infra- structure as Code). Это дает возможность автоматизировать процесс управления инфраструктурой, повышая отказоустой- чивость, гибкость, простоту обновления и масштабирования: самовосстановле- ние, диагностика, распределение нагруз- ки, управление сетью, гибкая настройка теннантов и многое другое. Бесперебойная интеграция SIEM и SOAR Обновления SIEM и других систем защиты нередко нарушают интеграции, что приводит к сбоям в работе плейбуков SOAR. Такие инструменты часто оказы- ваются заложниками ситуации, поскольку вендоры уделяют интеграционному слою второстепенное внимание. В платфор- менных решениях, таких как R-Vision EVO, эта проблема устранена: компонен- ты изначально связаны бесшовно, а совместимость закладывается на уровне архитектуры. Универсальная модель дан- ных инцидента в R-Vision SOAR упрощает подключение к любой SIEM, снижает нагрузку и ускоряет обработку. При изме- нениях в источниках достаточно внести правки только на уровне интеграции. Предобработка и агрегирование событий и инцидентов Для снижения шума в SIEM приме- няются классические методы: отключение или корректировка избыточных правил, использование белых списков, объеди- нение однотипных событий по корреля- ционному окну и другие подходы. Допол- нительно в R-Vision SIEM и R-Vision SOAR реализована предобработка: при вспле- ске алертов система автоматически агре- гирует, фильтрует и группирует связан- ные события по заданным критериям – источнику, типу атаки, вектору и т. д. Это избавляет аналитика от ручного разбора потока событий и позволяет сразу оце- нить масштаб и структуру инцидента. Рубрикатор Это технология, которая позволяет разные корреляционные правила интер- претировать к одному конкретному инци- денту – тем самым создавая единую модель описания инцидента. Ранее при внедрении SOAR и SIEM на данную настройку тратилось значительное коли- чество времени инженеров. Теперь же, благодаря тому, что с R-Vision SOAR из коробки идут рубрикаторы к SIEM, тра- тить время на преднастройку и анализ сопоставления событий к инциденту больше не нужно. Автосвязывание SOAR автоматически обогащает инци- дент контекстом: аналитик сразу видит связанные активы, уязвимости и потен- циальное влияние на бизнес – без ручных запросов. Объединение SIEM и SOAR на единой платформе позволяет выстроить эффективный мониторинг и автоматизированное реагирование: SIEM отвечает за сбор и интерпретацию собы- тий, SOAR – за обработку, сдерживание и устранение инцидентов. Ключевое преимущество платформен- ного подхода – в создании сквозного непре- рывного цикла расследования и реагиро- вания на киберинциденты из единого окна. От карточки инцидента до карточки события – один клик: аналитик плавно переходит от общей картины инцидента к детальным логам, не теряя контекста. Все связи между системами настроены в платформе, все данные рядом, нет необходимости дополнительно делать кросс-интеграции. Существующие в организации регла- менты и методологии сдерживания кибе- ратак легко преобразуются в автомати- зированные плейбуки в SOAR и SIEM на платформе R-Vision EVO. Данные сце- нарии охватывают как процессы мони- торинга (сбор данных, обогащение), так и процессы реагирования (блокировка, изоляция, уведомление), делая каждый ответ на инцидент последовательным и контролируемым. Интуитивно-понятный интерфейс SOAR и SIEM на платформе R-Vision EVO, про- думанный функционал каждой карточки, полей, воркфлоу и других сущностей, уже содержит в себе пользовательский опыт, основанный на зрелой экспертизе построе- ния SOC и поможет в грамотном построе- нии процессов кибербезопасности. Для обмена лучшими практиками в процессах мониторинга и реагирования на инциденты формируются сообщества, где участники обсуждают свои насущные вопросы и делятся своей экспертизой. Гармония и спокойствие вместо компромиссов Таким образом, объединение SOAR и SIEM на единой платформе позволяет синхронизировать и усилить все три критических компонента SOC: людей, технологии и процессы. l Люди работают эффективнее в удоб- ной среде. l Технологии действуют согласованно, быстро, точно – предоставляя данные и возможности для автоматизации. l Процессы становятся живыми и рабо- тающими. SOAR и SIEM на платформе R-Vision EVO – готовое решение для безопасного и эффективного SOC, построенная по принципу: комплексная технология долж- на включать в себя экспертизу, то есть быть максимально продуманной, но обя- зательно простой в использовании. Отдельно стоит сказать про экономи- ческую целесообразность. Внедрение двух разрозненных продуктов – это двой- ные затраты на интеграцию, обучение и последующее сопровождение. Единая аппаратная платформа технологического стека продуктов и единая лицензионная политика также позволяют построить SOC на более выгодных условиях для совокупной стоимости владения SOAR+SIEM. l • 17 SOC + SOAR www.itsec.ru На правах рекламы 2 https://rvision.ru/products/r-vision-evo-platform