Security Vision NG SOAR (Next Generation SOAR)
Security Vision NG SOAR (Next Generation SOAR) представляет собой готовое комплексное решение для расширенного управления инцидентами информационной безопасности. Продукт объединяет функциональность нескольких модулей платформы Security Vision: AM, SIEM, SOAR, ГосСОПКА и FinCERT. Такой подход позволяет организациям, где приобретение отдельных систем (SIEM, VM, IRP, SOAR) невозможно по инфраструктурным или коммерческим соображениям, получить полноценную автоматизацию реагирования на инциденты в рамках одного продукта.
Встроенный SIEM и корреляция событий
Security Vision NG SOAR включает собственный корреляционный механизм с набором из 100 базовых правил корреляции, обеспечивающих baseline по детектированию инцидентов с возможностью расширения. Система хранит только те события, которые необходимы для работы, и поддерживает восстановление цепочки событий даже в ситуациях, когда связь с источником временно отсутствовала и данные были получены позднее.
Обработка инцидентов по методологии NIST
Процесс обработки инцидентов включает семь фаз в соответствии с методологией NIST. На этапе подготовки (Preparation) задействуется модуль AM для инвентаризации активов. Обнаружение (Detection) обеспечивается встроенным SIEM. Сдерживание (Containment), расследование (Investigation) и устранение (Eradication) выполняются модулем SOAR. Восстановление (Recovery) использует связку AM и SOAR. Пост-инцидентный анализ (Post-Incident) проводится через SOAR и SIEM для предотвращения повторных атак.
Объектно-ориентированное реагирование и Kill Chain
Продукт автоматически выстраивает цепочку атаки (Kill Chain) и подбирает действия реагирования в зависимости от типов объектов. Поддерживаются внутренние и внешние хосты, учётные записи, адреса электронной почты, URL-адреса, вредоносное ПО, процессы и уязвимости. Динамические плейбуки формируются автоматически с учётом подключённых СЗИ и ИТ-систем.
ИИ-помощники и машинное обучение
В продукт встроены модели машинного обучения для анализа вердиктов инцидентов и определения ложноположительных срабатываний (False Positive), что позволяет снизить нагрузку на персонал SOC. Реализована интеграция с внешними LLM-моделями (YandexGPT, ChatGPT) для анализа индикаторов компрометации.
Источники данных и интеграции
Security Vision NG SOAR интегрируется с широким спектром решений. Источники данных об инцидентах включают SIEM-системы, NGFW, WAF, прокси-серверы, почтовые системы, конечные узлы, сканеры уязвимостей, антивирусные решения (AV, EPP, EDR), LDAP-каталоги (OpenLDAP, MS AD). Для обогащения индикаторов компрометации используются VirusTotal, WhoIsXMLAPI, URLScan, IPInfo.io, IPgeolocation.io, AbuseIPDB, LOLBAS, Kali tools, Shodan, ChatGPT и другие сервисы.
Источники данных об активах включают SIEM, uCMDB, AV/EDR, DLP/EM, сканеры уязвимостей, LDAP-каталоги, Lansweeper, MS SCCM, WSUS, VMware, nslookup.
Удалённое управление и массовые операции
Продукт позволяет выполнять массовые операции на инфраструктуре. Поддерживается блокировка и разблокировка пользователей, завершение сеансов, проверка версий и обновление ПО, удаление ПО, получение списков локальных администраторов, сетевых соединений, таблиц маршрутизации, правил брандмауэра и прав доступа к папкам.
Сертификация и соответствие требованиям
Security Vision NG SOAR соответствует требованиям Федеральных законов № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, стандарту СТО БР ИББС и РС БР ИББС-2.5-2014, международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК по 4-му уровню доверия, ФСБ и Минобороны России (по НДВ-2), включён в реестр отечественного ПО и реестр ГосСОПКА. Экосистема Security Vision признана системой с искусственным интеллектом и получила статус особо значимого проекта.
