Security Vision SOAR (Security Orchestration, Automation and Response)
Security Vision SOAR (Security Orchestration, Automation and Response) представляет собой платформу для управления инцидентами информационной безопасности. Решение позволяет автоматизировать реагирование на киберинциденты, снизить влияние человеческого фактора и повысить скорость реакции команды SOC. Платформа агрегирует события и инциденты из различных источников, выполняет автоматические команды на внешних системах для оперативного сдерживания угроз и устранения последствий атак.
Динамические плейбуки и база MITRE
Одна из ключевых возможностей Security Vision SOAR состоит в автоматическом построении плейбуков для более чем 200 типов инцидентов. Плейбуки формируются динамически в зависимости от подключённых средств защиты информации (SIEM, UEBA, AV/EDR, NGFW, WAF, Proxy и других), а также ИТ-систем организации. Продукт поддерживает более 100 техник и тактик MITRE ATT&CK, предоставляя встроенные рекомендации экспертов на различных этапах работы с инцидентами.
Построение Kill Chain и адаптивное реагирование
Security Vision SOAR автоматически выстраивает цепочку атаки (Kill Chain) и применяет объектно-ориентированный подход к реагированию. Система подбирает действия в зависимости от типов объектов: внутренний или внешний хост, учётная запись, адрес электронной почты, URL-адрес, вредоносное ПО, процесс, уязвимость. Для хостов доступно более 70 преднастроенных действий реагирования, для учётных записей более 20.
Методология NIST и встроенные рекомендации
Процесс управления инцидентами в Security Vision SOAR выстроен в соответствии с методологией NIST и включает семь этапов. На первом этапе выполняется подготовка: описание сервисов, СЗИ, списков исключений, формирование команд SOC. Далее следует обогащение данными в окрестностях инцидента, анализ и классификация, сбор цифровых свидетельств. На этапе сдерживания происходит изоляция учётных записей, хостов, URL, email-адресов и доменов. Этап реагирования предусматривает выполнение действий на ключевых объектах. Завершающие фазы включают восстановление скомпрометированных объектов из резервных копий и пост-инцидентный анализ для предотвращения повторных атак.
ИИ-помощники и машинное обучение
В продукт встроены модели машинного обучения для анализа вердиктов инцидентов и помощи в управлении новыми задачами. Система анализирует все инциденты и состояния их жизненного цикла, определяя возможные ложноположительные срабатывания (False Positive), что позволяет снизить нагрузку на персонал SOC. Также реализована интеграция с внешними LLM-моделями (YandexGPT, ChatGPT), позволяющая обращаться к чат-ботам для анализа индикаторов компрометации и помощи в решении задач.
Источники данных и обогащение
Security Vision SOAR интегрируется с широким спектром источников данных: SIEM-системами, NGFW, WAF, прокси-серверами, почтовыми системами, антивирусными решениями, LDAP-каталогами и другими. Для дополнительного обогащения индикаторов компрометации используются внешние сервисы: VirusTotal, WhoIsXMLAPI, URLScan, IPInfo.io, AbuseIPDB, LOLBAS, Kali tools, Shodan и другие.
Формирование отчётности и визуализация
Платформа поддерживает формирование отчётов в форматах PDF, DOCX, XLSX и CSV. Для визуализации данных доступны графы связей, позволяющие наглядно отображать взаимосвязи между объектами инцидента.
Сертификация и соответствие требованиям
Security Vision SOAR соответствует требованиям Федеральных законов № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, стандарту СТО БР ИББС и РС БР ИББС-2.5-2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России, включён в реестр отечественного ПО.
Клиенты и внедрения
Среди заказчиков Security Vision SOAR: РусГидро, X5 Group, Почта России, Альфа-Банк, Евраз, Capital Group, Сбер Банк Беларусь, группа «Черкизово», Мособлбанк, ЦИТ Тюменской области, ЦИТ Красноярского края, НИИ «Интеграл», Газинформсервис, Infosecurity, CyberOne, Форт Диалог и другие. В 2025 году Security Vision второй год подряд вошла в Топ-3 рейтинга ЦСР по средствам защиты инфраструктуры. Продукт также признан лидером международного рейтинга систем SOAR по версии SPARK Matrix.
