Аналитическое сравнение SOAR-платформ

Дата: 19.04.2021. Автор: РУНЦ «Безопасность» МГТУ им. Н.Э. Баумана. Категории: Главное по информационной безопасности, Сравнения средств защиты информации
Сравнение решений класса Security Orchestration, Automation and Response (SOAR)

В обзоре мирового рынка SOAR-систем были проанализированы современные системы автоматизации реагирования на инциденты информационной безопасности, показана актуальность данного класса решений и представлено большое количество разнообразных продуктов. В настоящей работе проведен сравнительный анализ известных коммерческих решений класса IRP / SOAR от отечественных и зарубежных вендоров, предлагающих свои продукты на территории России. Продукты исследовались по общим и техническим характеристикам, а также по функциональным возможностям. Продемонстрированы широкие возможности решений класса IRP / SOAR по автоматизации обработки киберинцидентов и выполнению сопутствующих действий (аналитика, корреляция, визуализация), в том числе с использованием методов машинного обучения, искусственного интеллекта, обработки Big Data.

По каждому разделу сделаны выводы.

Авторы: Грачева Ю.В., Вайц В.Л., Рудик К.П.

Критерий сравненияIBM Security SOAR Версия 40 (США)PaloAlto Cortex XSOAR Версия 6.1 (США)Siemplify Версия 5.5.3 (Израиль)RVision IRP Версия 4.5 (Россия)Security Vision IRP / SOAR Версия 5.0.0 (Россия)
1. Сравнение общих и технических характеристик
1.1. Требования к программному обеспечению
Вариант поставкиУстановка on-premise и в облачной инфраструктуре (IBM Cloud SOC 2 Type 2, соответствие стандартам ISO 27001, 27017, 27018).Установка локально на виртуальной и физической инфраструктурах, а также через Docker. Установка в облачной инфраструктуре Azure, AWS.Поддерживается установка в облачной инфраструктуре, в on-prem, на виртуальной инфраструктуре.Software appliance, есть возможность развернуть на физических серверах. При небольших расчетных нагрузках есть опция размещения всех компонент в режиме All-in-one (на одном сервере).Software appliance, есть возможность развернуть на физических серверах. При небольших расчетных нагрузках есть опция размещения всех компонент в режиме All-in-one (на одном сервере).
Среды виртуализацииVMware 6.0 или старше.VMware.VMware.VMware, VirtualBox, Hyper-V, Xen, Parallels.VMware, VirtualBox, Hyper-V, Xen, Parallels, KVM.
Компоненты решенияСервер СУБД, веб-сервер.Сервер Cortex XSOAR Server, сервер Cortex XSOAR Engine.Сервер СУБД, веб-сервер.Сервер управления, сервер СУБД (может быть совмещен с сервером управления), центральный коллектор, коллектор инвентаризации.Сервер управления, сервер СУБД, сервисы коннекторов (коннекторы к источникам данных и коннекторы реагирования), сервис мониторинга (опционально, для режима High Availability).
ОСRHEL 7.4-7.7 или старше.Сервер Cortex XSOAR Server: ОС CentOS (7.x и выше), Ubuntu (16.04 и выше), RHEL (7.x и выше), Oracle Linux (7.x) Сервер Cortex XSOAR Engine: Windows, MacOS, Linux.CentOS 7.8.Сервер управления, коллекторы: CentOS 7, RHEL 7, Astra Linux CE 2.12, AltLinux Альт 8 СП. Сервер СУБД: Ubuntu 14/16, CentOS 7, RHEL 7, Windows Server 2012/2016, FreeBSD 11. Сервер управления, сервисы коннекторов, сервис мониторинга: Microsoft Windows Server 2012R2 и выше, CentOS 7 и выше, RHEL 7 и выше, Ubuntu 14 и выше, Astra Linux CE, AltLinux, Альт. Сервер СУБД: Microsoft Windows Server 2012R2 и выше, CentOS 7 и выше, RHEL 7 и выше, Ubuntu 14 и выше, FreeBSD 11 и выше, Astra Linux CE, AltLinux, Альт.
СУБДPostgreSQL.Elasticsearch.PostgreSQL, Elasticsearch.PostgreSQL v10 и выше.MS SQL (SQL Server 2016 и выше), PostgreSQL 9.5 и выше.
Клиентское ПОВеб-браузер.Веб-браузер.Веб-браузер.Веб-браузер.Веб-браузер.
1.2. Требования к аппаратному обеспечению и инфраструктуре Заказчика
Архитектура процессораЛюбая, поддерживающая ОС сервера.Любая, поддерживающая ОС сервера.Любая, поддерживающая ОС сервера.Любая, поддерживающая ОС сервера.Любая, поддерживающая ОС сервера.
Аппаратное обеспечениеПлатформа: 4 ЦПУ 16 Гб ОЗУ 100 Гб дисковой подсистемы.Сервер Cortex XSOAR Server: 8 ЦПУ 16 Гб ОЗУ 500 Гб дисковой подсистемы. Сервер Cortex XSOAR Engine: 8 ЦПУ 16 Гб ОЗУ 20 Гб дисковой подсистемы.12 ЦПУ 32 Гб ОЗУ 800 Гб дисковой подсистемы.В зависимости от количества активов, сценариев реагирования, пользователей системы: Сервер управления: 1– 22 ЦПУ 8 – 32 Гб ОЗУ Сервер СУБД: 1 – 16 ЦПУ 8 – 24 Гб ОЗУ Коллектор (рекомендуемые значения): 4 ЦПУ 8 Гб ОЗУ.В зависимости от количества инцидентов и сценариев реагирования. Сервер управления: 1-12 ЦПУ 4-16 Гб ОЗУ Сервер СУБД: 1-16 ЦПУ 4-32 Гб ОЗУ Сервисы коннекторов, сервис мониторинга: 1-2 ЦПУ 2-4 Гб ОЗУ.
Поддержка географически распределенного размещения компонентДа.Да, с помощью агентов.Да, с помощью агентов.Да.Да.
Возможность установки обновлений без доступа к ИнтернетДа.Нет.Да.Да.Да.
Архитектура приложенияМикросервисная.Микросервисная.Монолитная.Монолитная.Микросервисная.
1.3. Удобство эксплуатации, администрирования
ДокументацияПредоставляется на веб-сайте.Предоставляется на веб-сайте.Предоставляется на веб-сайте.Предоставляется в виде контекстной HTML-справки и в виде отдельного документа.Предоставляется в виде контекстной HTML-справки и в виде отдельного документа.
Язык документацииАнглийский.Английский.Английский.Русский, английский.Русский, английский.
Язык интерфейсаПоддержка мультиязычности. Поддержка русского языка — интерфейс, объекты, поля инцидентов.Английский.Английский.Русский, английский.Русский, английский, поддержка мультиязычности (возможность добавлять любые языки).
Темы оформленияНастраиваются.Светлая, темная.Светлая, темная.Светлая, темная.Светлая, темная.
Предоставляемые права доступа к ОС, на которой разворачиваются решенияПолные права доступа.Полные права доступа.Полные права доступа.Полные права доступа.Полные права доступа.
Методы аутентификации пользователей решенияLDAP, SAML, поддержка двухфакторной аутентификации (провайдер аутентификации Duo).LDAP, SAML, с помощью провайдеров аутентификации Duo, Okta, Microsoft Azure, Microsoft ADFS.LDAP (Active Directory), SAML, с помощью провайдеров аутентификации Okta и G-Suite, поддержка подключения пользовательского провайдера аутентификации.Доменная аутентификация (NTLM, Kerberos), встроенная аутентификация. Примечание: доменная аутентификация требует предварительной настройки через Linux-консоль, поскольку сервер управления работает под управлением ОС Linux.Доменная аутентификация (NTLM, Kerberos, включая SSO), аутентификация посредством протокола Radius, встроенная аутентификация. Примечание: поддержка назначения ролей пользователям системы на основе данных о членствах групп в Active Directory.
Настройка сетевого взаимодействияКонечный список требуемых протоколов и портов.Конечный список требуемых протоколов и портов.Конечный список требуемых протоколов и портов.Конечный список требуемых протоколов и портов, конфигурирование iptables осуществляется через Linux-консоль.Конечный список требуемых протоколов и портов, конфигурирование брандмауэра Windows осуществляется через GUI или командную строку. Конфигурирование iptables осуществляется через Linux-консоль.
Поиск по всем объектам из единого интерфейсаПоиск по всем объектам, с фильтром по типу объекта, с применением поисковых строковых операторов, с поддержкой поисковых запросов формата Elasticsearch (в продукте используется поисковый и аналитический движок Elasticsearch).Поиск по определенным типам объектов или по всем данным в системе, в том числе с помощью Regex-выражений и синтаксиса запросов Apache Lucene. Поиск по тэгам внутри системы.Использование фильтров в поиске, поиск по кейсам, сущностям, экспорт найденных сведений в CSV. Возможность тэгирования событий и кейсов с дальнейшим поиском по тэгам.Поиск по всем элементам, в т.ч. связным.Глобальный поиск по всем объектам.
Собственный APIRESTful API.RESTful API.HTTP Rest API.REST API.REST API.
1.4. Разграничение прав доступа к системе
Модель разграничения доступаРолевая модель разграничения доступа. Создание пользовательских ролей. Права доступа через API предоставляются аутентифицированным сущностям (API key accounts), имеющим активный внутренний Resilient-аккаунт с необходимыми правами доступа.Ролевая модель разграничения доступа. Создание пользовательских ролей.Ролевая модель разграничения доступа. Создание пользовательских ролей. Установка прав доступа для пользователей и API-токенов (API keys).Ролевая модель разграничения доступа. Системные роли: доступ к разделам системы на чтение или изменение, например: Администратор, Пользователь, Менеджер по управлению рисками и т.д. Специальные роли: доступ к отдельным элементам системы, например: Владелец актива, Администратор безопасности, Аудитор безопасности и т.д.Ролевая модель разграничения доступа. Настраиваемые роли, на основании атрибутов объектов. Разграничение доступа ко всем объектам в системе с назначением прав на чтение, изменение, создание, выполнение групповых операций для конкретного пользователя / группы. Разграничения доступа к содержимому (контенту) карточек (к любому полю) в зависимости от текущего состояния в рабочем процессе (workflow). Разрешения построены по принципу «Модуль – Объект доступа – Право доступа – Политика».
Поддержка гранулированного доступаДа.Да.Да.Возможность создавать пользовательские роли с разрешениями на выполнение конкретных действий с конкретными объектами, объединять пользователей в группы и назначать им роли.Возможность создавать пользовательские роли с разрешениями на выполнение конкретных действий с конкретными объектами, объединять пользователей в группы и назначать им роли. Функционал «Рабочих процессов» позволяет определять порядок взаимодействия с любым логическим объектом (инцидент, актив, уязвимость, задача и т.д.) различных групп пользователей, в том числе в зависимости от текущего состояния и значений свойств объекта, с учетом ролей и прав пользователей.
1.5. Журналирование
История действий пользователяВедется история действий пользователей и администраторов.Ведется история действий пользователей и администраторов.Ведется история действий пользователей и администраторов.Ведется история действий пользователей и администраторов во всех модулях, включая экспорт данных журнала и отправку его по syslog.Ведется история действий пользователей и администраторов во всех модулях, включая отправку информации об активности на email, по syslog и SNMP.
Журналирование действий с объектамиДа, действия пользователей.Да, действия пользователей.Да, действия пользователей.Ведется история изменения всех элементов (изменение значения полей, действия с элементами, добавление объектов).Ведется история изменения всех объектов (изменение свойств,
состояний рабочего процесса, выполненных транзакций) с сохранением старого и нового значения измененного свойства.
Мониторинг функционирования решенияЖурналирование средствами системы и ОС.Журналирование средствами системы и ОС.Журналирование средствами системы и ОС.Журналирование средствами ОС (текстовые файлы), журналирование путем записи событий в БД.Журналирование средствами ОС (Windows-журнал Application, текстовые файлы), журналирование путем записи событий в БД.
1.6. Безопасность
Защита коммуникаций между компонентами решенияИспользование протоколов SSL / TLS.Использование протоколов SSL / TLS.Использование протоколов SSL / TLS.Использование протоколов SSL / TLS и возможность аутентификации по сертификатам между всеми компонентами системы, использование выданных Центром Сертификации / Удостоверяющим Центром сертификатов. Примечание: настройка работы с PKI осуществляется через Linux-консоль.Использование протоколов SSL / TLS и возможность аутентификации по сертификатам между всеми компонентами системы, использование выданных Центром Сертификации / Удостоверяющим Центром сертификатов.
Защита доступа пользователей к веб-интерфейсуДоступ к веб-интерфейсу через HTTPS.Доступ к веб-интерфейсу через HTTPS.Доступ к веб-интерфейсу через HTTPS.Доступ к веб-интерфейсу через HTTP / HTTPS, использование протокола TLS 1.2Доступ к веб-интерфейсу через HTTPS, использование протокола TLS 1.2, возможность ограничения IP-адресов, которым разрешен доступ.
Настройка тайм-аута веб-сессииДа.Да.Да.Да.Да.
Настройка сложности и срока действия пароля (при использовании встроенной аутентификации)Да.Да.Да.Да.Да.
Блокировка учетной записи при неуспешных попытках аутентификацииДа.Да.Да.Да.Да.
Двухфакторная аутентификация пользователейДа, с помощью провайдеров аутентификации.Да, с помощью провайдеров аутентификации.Да, с помощью провайдеров аутентификации.Да, по сертификатам.Да, по сертификатам.
Ограничение доступа к решению на сетевом уровнеНет, только средствами ОС.Нет, только средствами ОС.Нет, только средствами ОС.Нет, только средствами ОС (через iptables вручную через Linux-консоль).Да, через веб-интерфейс: разрешение на доступ к системе только с определенных IP-адресов, диапазонов IP-адресов, подсетей.
1.7. Лицензирование
Стоимость лицензииОтдельные модули могут лицензироваться дополнительно (MSSP add-on, Privacy add-on).Зависит от функционала, типа подписки, количества пользователей, операторов, количества коннекторов, срока действия и типа приобретаемой технической поддержки.Зависит от функционала, типа подписки, количества пользователей, операторов, количества коннекторов, срока действия и типа приобретаемой технической поддержки.Зависит от функционала, общего количества активов, количества пользователей, количества коннекторов, кастомизации решения под конкретного Заказчика, срока действия приобретаемой технической поддержки.Зависит от перечня выбранных функциональных модулей и количества коннекторов, возможности использовать режим высокой доступности / многонодности, выбранного уровня технической поддержки.
Тип лицензииПодписки (для on-prem и облачных инсталляций) и бессрочные лицензии (для on-prem инсталляций).Подписки и бессрочные лицензии.Подписки и бессрочные лицензии.Бессрочная, MSSP.Бессрочная, MSSP.
Количество пользователейОграничено. Пользователи докупаются.Ограничено. Пользователи докупаются.Ограничено. Пользователи докупаются.Ограничено. Пользователи докупаются.Не ограничено.
Количество активов (ИТ активов)Не ограничено.Не ограничено.Не ограничено.Ограничено. Активы докупаются.Не ограничено.
Количество коннекторовНе ограничено.Ограничено. Коннектора докупаются.Ограничено. Коннектора докупаются.Ограничено. Коннектора докупаются.Не ограничено в enterprise версии. Ограничено в «коробочной» версии.
Техническая поддержкаЕсть. Язык оказания услуги: английский.Есть. Язык оказания услуги: английский.Есть. Язык оказания услуги: английский.Есть. Язык оказания услуги: русский, английский.Есть. Язык оказания услуги: русский, английский.
ДополнительноВыбор типа лицензии зависит от срока хранения данных инцидентов, подключенных TI-фидов, доступных автоматизаций, отчетности. Есть бесплатная Community Edition.Временной период (retention period) хранения данных по закрытым кейсам зависит от лицензии и может быть дополнительно расширен за счет ее расширения.Вендор предлагает отдельно пакеты экспертизы, комплексы требований по аудиту приобретаются.Вендор предлагает «коробочное» и enterprise решение, адаптируемое под Заказчика настройками. Оба варианта содержат пакеты экспертизы.
1.8. Сертификаты
Сертификаты ФСТЭК, ФСБНет.Нет.Нет.Продукт сертифицирован ФСТЭК России по 4 уровню доверия, может использоваться для обеспечения ИБ в значимых объектах КИИ 1-ой категории, в ГИС 1-ого класса защищенности, в ИСПДн с 1-ым уровнем защищенности персональных данных. Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.Продукт сертифицирован ФСТЭК России по 4 уровню доверия, может использоваться для обеспечения ИБ в значимых объектах КИИ 1-ой категории, в ГИС 1-ого класса защищенности, в ИСПДн с 1-ым уровнем защищенности персональных данных. Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
1.9. Внедрения (список Заказчиков, из открытых источников)
ВнедренияBarclays, АО Россельхозбанк, CAE, Пенсионный Фонд России.Comcast, Oracle, Unity Technologies, Магнит, АвтоСпецЦентр.Horace Mann, Fedex, ExxonMobile, Atos.ВТБ, МТС Банк, ЮниПро, Газпромнефть, ФНС России, Сибур.Сбер, Ростех, Открытие, ФСО России, СДМ Банк, Почта России, Гознак.
1.10. Прочее
Работа в режиме multitenancyДа, поддержка MSSP-провайдеров реализована в MSSP add-on.Расширенная поддержка Multitenancy.Продвинутая поддержка Multitenancy для MSSP-провайдеров и коммерческих SOC-Центров.Да, с поддержкой разграничения доступа и ролевой модели для MSSP без физического разделения данных.Да, с поддержкой гранулярного разграничения доступа для MSSP, включая возможность физического разделения данных.
ОтказоустойчивостьДа.Да, режим Live Backup для мгновенного переключения на резервную копию.Да.Да, в режиме Active-Passive, Active-Active.Да, в режиме Active-Passive, Active-Active.

Вывод по разделу №1:

Сравнение общих и технических характеристик рассматриваемых решений показывает, что для современных IRP/SOAR-систем в целом характерны одинаковые архитектурные подходы: поддержка сред виртуализации и Open Source платформ, широкое использование API-интерфейсов, доступ к продукту через веб-интерфейс с поддержкой различных методов аутентификации, гибким поиском и опциями кастомизации внешнего вида, поддержка работы в режиме multitenancy и быстрое масштабирование для выполнения требований MSSP-провайдеров в части производительности. При этом продукты от вендоров широкой специализации (IBM, PaloAlto) гарантированно раскроют свои возможности при работе в тесной связке со смежными системами данных производителей, а компоненты и внутренние механизмы таких продуктов также зачастую «завязаны» на использование единого технологического стека вендора. Вендоронезависимые же продукты могут похвастаться большей гибкостью и широтой интеграционных возможностей.

Отечественные решения от R-Vision и Security Vision обладают определенными конкурентными преимуществами по сравнению с зарубежными продуктами: имеют сертификаты ФСТЭК России, включены в Единый реестр российских программ для ЭВМ и баз данных, вендоры могут оказывать оперативную поддержку on-site и на русском языке, знакомы со спецификой рынка. Российские решения поддерживают установку на отечественные операционные системы, что может также стать определяющим фактором при выборе для ряда заказчиков. Оба игрока также предлагают нечто большее, чем просто IRP/SOAR-системы: интеграция процессов управления ИБ (с помощью модулей SGRC-систем) и процессов реагирования на киберинциденты обеспечивает более глубокое видение событий и инцидентов ИБ, обогащение данных, дает необходимый контекст для принятия решений при обработке киберинцидентов. При этом Security Vision предлагает более заманчивые лицензионные условия (неограниченное количество ИТ-активов и пользователей в системе, включенные в стоимость пакеты экспертизы), более гибкие опции установки (поддержка Windows-инсталляций), возможности физической изоляции данных тенантов (что может быть критично для определенных клиентов MSSP-провайдеров). Стоит отметить, что ряд западных и российских производителей пошли по пути микросервисной архитектуры, что, с одной стороны, упрощает поставку более сложных интеграций, но с другой — ведет к необходимости дополнительной квалификации сотрудников, ответственных за обслуживание продукта. Наличие сертификатов российских регуляторов и возможность установки на отечественные операционные системы может стать определяющим для ряда заказчиков.

2. Сравнение функциональных возможностей
2.1. Сценарии автоматизации и реагирования
2.1.1. Работа со сценариямиИспользование динамических плейбуков, реализующих бизнес-логику процедур реагирования на киберинциденты компании, с правилами, условиями, действиями, фазами, задачами, скриптами, рабочими процессами. Графический редактор рабочих процессов (Workflow) реагирования на киберинциденты позволяет задать логику работы повторяемых бизнес-процессов и сценариев реагирования со сложными условиями выполнения и постановкой ручных и автоматически выполняемых задач. Небольшой рабочий процесс может являться составной частью более сложного рабочего процесса. Решение получает сообщения о потенциальных инцидентах из подключенных ИТ / ИБ-систем (например, из SIEM-систем, систем электронной почты), из CSV-файлов, с помощью RESTful API, инциденты также могут создаваться в системе вручную. Регламенты реагирования на инциденты отражаются в кастомизируемых плейбуках (сценариях реагирования), написанных в формате YAML в соответствии со стандартом COPS. Поддерживается выполнение скриптов на Python и JavaScript, которые запускаются при выполнении задач (Tasks), используемых в плейбуках и при выполнении команд в «командном пункте» (War Room, рабочее пространство обработки инцидента со всеми действиями, артефактами, журналированием). Команды из «командного пункта» могут выполнять некоторые действия в самой платформе XSOAR (например, закрытие инцидента), а также выполнять действия в интегрированных системах (например, проверить репутацию IP-адреса). Поддержка создания запланированных событий с помощью функционала задач (Jobs), которые запускаются либо по таймеру, либо по определенному входящему событию.Входные данные поступают от SIEM-систем. Далее решение агрегирует релевантные события в инциденты (кейсы, cases) с помощью настраиваемых правил группировки, затем применяется плейбук для данного типа инцидента, затем получившийся кейс назначается на конкретного аналитика. Плейбук представляет собой предопределенный набор действий, применяемый при выполнении триггеров и логических условий для каждого из типов событий, в целях обогащения данных о событии из подключенных ИТ/ИБ-систем, запроса информации у затронутых инцидентом пользователей, а также для принятия решения и выполнения автоматических или автоматизированных действий на подключенных системах для противодействия угрозе. Результат работы действий (Actions) возвращается в виде сообщений, таблиц, ссылок, файлов, JSON-объектов. Далее аналитик может выполнить дополнительные действия, запустить скрипты и команды, а затем принять решение о закрытии или эскалации кейса. Входные данные поступают от интегрированных систем, затем обрабатываются с помощью выполнения действий по инциденту (в зависимости от типа инцидента) и сценариев реагирования (последовательность действий, выполняемых при выполнении предопределенных логических условий). Настройка действий и сценариев ведется через графический интерфейс редактора плейбуков. Поддерживается создание инцидента вручную, из уязвимости.Входные данные поступают от интегрированных систем или смежных модулей платформы. Работа с инцидентами настраивается через универсальный функционал рабочих процессов, реализующих механизм обработки и жизненного цикла инцидентов, включая обогащение из внешних систем и выполнение активных действий. Графический редактор процессов реагирования. Выполнение действий по реагированию в зависимости от выполнения логических условий.
2.1.2 Поддержка сложной логики в плейбукахВозможность реализации сложной логики реагирования на инциденты предоставляется с помощью создания Python-скриптов (поддерживаются версии Python 2.7 и 3.6), которые позволяют получать доступ к данным инцидентов и выполнять сложные действия. Скрипты могут запускаться правилами или рабочими процессами. Для Python-скриптов запрещен доступ к файловой системе сервера и сетевому взаимодействию, также не поддерживается импорт определенных Python-библиотек. Список Python-модулей, доступных для импорта, также ограничен.Поддерживается создание плейбуков в формате YAML в соответствии со стандартом COPS. Создание элементов (инциденты, индикаторы) из командной строки решения, используя проприетарный синтаксис.С помощью редактирования Python-скриптов.Графический редактор плейбуков (сценариев реагирования), ручной и автоматический запуск предустановленных сценариев реагирования.Графический интерфейс редактора плейбуков позволяет реализовывать как предустановленные действия, так и функционал операций сложной логики: математических, логических, текстовых, операций, а также операций с массивами.
2.1.3 Поддержка запуска плейбуков по расписаниюНет.Нет.Да.Ограничено. Доступен запуск скриптов на группу активов по расписанию.Да.
2.1.4. Встроенная среда разработки (IDE) для создания рабочих процессовНет.Нет.Да, создание пользовательских сценариев во встроенной среде IDE на Python 2.7.НетНет, с использованием интеграций.
2.1.5. Наличие предварительно настроенных плейбуковДа.Да.Да, более 80 предустановленных плейбуков для наиболее распространенных сценариев использования (use-cases).Да, более 30 предустановленных плейбуков.Да, более 50 предустановленных плейбуков.
2.1.6. Доступ к плейбукам от сообществаНет.Доступ к плейбукам от сообщества через маркетплейс.Доступ к сценариям реагирования и плейбукам от сообщества через Маркетплейс. Возможность расшарить собственные сценарии реагирования и плейбуки для других пользователей решения после проверки и согласования вендором.Нет.Нет.
2.1.7. Поддержка бескодовой опции создания плейбуковДа, бескодовое создание плейбуков в графическом редакторе рабочих процессов и правил реагирования.Да, бескодовое создание плейбуков в графическом редакторе плейбуков.Да, с помощью графического редактора плейбуков.Да, с помощью графического редактора плейбуков.Да, с помощью графического редактора плейбуков.
2.1.8. Возможность экспорта / импорта плейбуковДа, экспорт и импорт правил, рабочих процессов, скриптов, полей карточки инцидента, функций, фаз, задач в JSON-файл.Да, экспорт плейбука в PNG-формате.Да, экспорт плейбуков в форматы CSV, PDF. Экспорт / импорт плейбуков (формат ZIP) для переноса из одной среды в другую, создания копий и т.д.Да, экспорт данных системы в форматах xlsx, docx, pdf. Экспорт элементов плейбуков в графический формат (png). Импорт / экспорт любых данных в машиночитаемом виде. Импорт / экспорт любых объектов в формат xlsx, csv, docx, pdf. Импорт / экспорт настроенных рабочих процессов во внутреннем формате. Экспорт элементов в графический формат (png, jpeg).
2.1.9. Поддержка версионности плейбуков, возможность отката к предыдущей версииНет.Нет.Поддержка версионности плейбуков, просмотра истории версий плейбуков, возможность отката к любой из предыдущих версий. Нет.Нет.
2.1.10. Поддержка симуляции (тестирования) реагирования по плейбукам перед их публикациейВозможность создания симуляций реагирования на тестовые инциденты с отработкой действий по реагированию (функционал Simulations). Поддерживаются 2 типа симуляций: сценарии (отработка действий по реагированию на инцидент) и оценка рисков (моделирование ситуации утечки персональных данных с предоставлением рекомендаций и указанием величины потенциального штрафа за утечку). Требуется специальное разрешение (пермиссия) для создания симуляции из интерфейса решения.Тестирование скриптов, команд, API в выделенной тестовой среде (Playground). Использование продуктовых и тестовых репозиториев для проверки корректности обновлений, скриптов, плейбуков.Возможность создать тестовый кейс вручную, провести симуляцию кейса (Simulate case) для проверки нового плейбука на имеющихся в системе событиях. Возможность тестирования (методом симуляции) имеющегося события ИБ путем его клонирования. Запуск плейбуков на стейджинговом сервере с возможностью переноса на продуктивный сервер.Нет.Да.
2.2. Механизмы взаимодействия с интегрированными системами
2.2.1 Протоколы взаимодействия с MS Windows системамиMS RPC, PS-Remoting (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell.MS RPC, PS-Remoting (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell.MS RPC (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell.MS RPC (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell, WMI.MS RPC (аутентификация NTLM, Kerberos). Выполнение команд Widows Shell, PowerShell, WMI.
2.2.2 Протоколы взаимодействия с Linux системами и программными программно-аппаратными комплексамиSSH, SNMP.SSH, SNMP.SSH, SNMP.SSH, SNMP.SSH, SNMP.
2.2.3 Модуль инвентаризации ИТ активовНет. Путем интеграции с IBM QRadar.Нет. Путем интеграции с подключенными системами, в т.ч. Asset Management.Нет. Путем интеграции с подключенными системами, в т.ч. Asset Management.Да, на базе встроенного nmap. Модуль подключения к Windows на базе python модуль impacket.Да, собственная разработка.
2.2.4 Поддерживаемые базы данныхMySQL / MariaDB, PostgreSQL, Microsoft SQL Server.MySQL, PostgreSQL, Microsoft SQL Server, Oracle.MS SQL, MySQL, PostgreSQL.MS SQL, MySQL, PostgreSQL, Oracle.MS SQL, MySQL, PostgreSQL, Oracle.
2.2.5 Поддержка Web запросовREST, SOAP.REST, SOAP.REST, SOAP.REST, SOAP.REST, SOAP.
2.2.6 Поддержка потоков событийSyslog.Syslog.Syslog.Syslog.Syslog.
2.2.7 Поддержка SIEM системIBM Qradar, McAfee ESM, Micro Focus ArcSight, Splunk.IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk, FortiSIEM.IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk.MP SIEM, IBM Qradar, McAfee ESM, Micro Focus ArcSight, FortiSIEM, RSA Netwitness SIEM, RuSIEM.MP SIEM, IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk, FortiSIEM, RSA Netwitness SIEM, RuSIEM. KAV KUMA, Комрад SIEM.
2.2.8 Поддержка DLP системForcepoint, Symantec.Forcepoint, Symantec.Forcepoint, Symantec.InfoWatch, Forcepoint.InfoWatch, Searchinform, Falconegaze.
2.2.9 Поддержка брокеров сообщенийKafka.Kafka.Нет.Нет.Kafka, IBM MQ.
2.2.10 Поддержка систем виртуализацииVMware.VMware.VMware.VMware.VMware, Microsoft Hyper-V, OpenStack.
2.2.11 Поддержка российских CERTНет.Нет.Нет.ФинЦЕРТ, НКЦКИ.ФинЦЕРТ, НКЦКИ.
2.2.12 Поддержка и взаимодействие с Active DirectoryLDAP. Взаимодействие и выгрузка на базе собственной разработки.LDAP. Взаимодействие и выгрузка на базе собственной разработки.LDAP. Взаимодействие и выгрузка на базе собственной разработки.LDAP. Взаимодействие и выгрузка на базе pyldap и ldapdomaindump.LDAP, ADWS. Взаимодействие и выгрузка на базе собственной разработки.
2.2.13 Поддержка E-mail сервисовMicrosoft Exchange, Microsoft Exchange Online.Microsoft Exchange Online.Microsoft Exchange, IMAP\POP3, SNMP.Microsoft Exchange, IMAP\POP3, SNMP.Microsoft Exchange, IMAP\POP3, SNMP.
2.2.14 Поддержка систем защиты конечных устройств Kaspersky, McAfee, Symantec, Carbon Black.Microsoft Defender, McAfee, CrowdStrike, Carbon Black, Symantec.Microsoft Defender ATP, McAfee, CrowdStrike, Carbon Black, Symantec.Kaspersky, McAfee, Symantec.Kaspersky, McAfee, Symantec, Код Безопасности.
2.2.15 Поддержка систем управления уязвимостямиIBM VM, Tenable, Qualys.Tenable, Qualys, Nexpose.Tenable, Qualys, beSecure.Tenable, Qualys, RedCheck, MaxPatrol, Nexpose, SkyBox, OpenVAS.Tenable, Qualys, RedCheck, MaxPatrol, Nexpose, SkyBox, OpenVAS.
2.2.16 Выполнение пользовательских скриптовОтправка сообщений, выполнение функций, выполнение действий на подключенных системах с помощью программ выполнения удаленных действий (Action Processor). Resilient App (расширение / интеграция) — набор компонент плейбуков (включает в себя правила, рабочие процессы, Python-скрипты, кастомные поля карточки инцидента, таблицы с данными, места назначения сообщений для внутреннего обмена информацией) или исполняемого кода (для доступа и получения данных из внешних систем, интеграции и взаимодействия с ними). Resilient App могут представлять из себя как независимые Kubernetes-контейнеры, так и программные расширения, требующие сервер интеграции. В результате работы Resilient App выполняются следующие действия: отправка данных и интерпретация результатов выполнения, запись результатов выполнения в карточку инцидента, обращение к TI-сервису, обращение к сторонней системе и двустороннее взаимодействие с ней через RESTful API. Поддержка загрузки Resilient App из маркетплейса IBM. Поддержка парсинга email-сообщений с подключенного почтового ящика с помощью Python-скриптов.Поддерживается интеграция с помощью RESTful API. Для выполнения Python-скриптов и работы интеграций используются Docker-контейнеры, содержащие в себе все необходимые для работы библиотеки и зависимости, программно изолированные от сервера Cortex для повышения безопасности. Поддерживается возможность отправки уведомлений администраторам об ошибке получения данных от интеграций.Возможность преобразовывать поступающие от источников данные (значения свойств) в свойства решения с помощью функций трансформации (с помощью Regex-выражений), обработка результатов выполнения действий (поступают в виде JSON-объектов) с помощью Pipe-функций (обработка массивов, фильтрация, сортировка, нормализация). Установка прав доступа для API-токенов (API keys).Коннекторы позволяют осуществлять взаимодействие с различными системами посредством следующих протоколов и механизмов:
·SSHM
·SOAP
·REST
·LDAP
·MySQL
·PostgreSQL
·Oracle
·RPC
·PowerShell
·SNMP
·R-Vision скрипт.

Полученные результаты могут быть преобразованы на основании регулярных выражения и сохранены в множественные поля инцидента.
Коннекторы позволяют осуществлять взаимодействие с различными системами посредством следующих протоколов и механизмов:
·Apache Kafka
·DNS
·HTTP
·HTTPS
·IBM MQ
·IMAP
·PowerShell
·RPC
·REST
·SNMP
·SOAP
·LDAP
·Microsoft SQL
·MySQL
·Oracle
·PostgreSQL
·SSH
·CMD
·TLS
·WMI
·Java
·Javascript
·PowerShell
·Python

Полученные результаты могут быть обработаны как JSON, XML или Text, с указанием пути до искомого элемента, а также преобразованы на основании регулярных выражения и сохранены в множественные поля инцидента. Поддержка парсинга email-сообщений с подключенного почтового ящика. Доступно формирование многоэтапных команд формата аутентификация-запрос данных-получение данных.
2.2.17. Типы интегрируемых системИнтеграция с более чем 180 ИТ/ИБ-системами с помощью технологии контейнеризации Resilient App Host (на основе Kubernetes).Более 500 встроенных интеграций, полная интеграция с продуктами PaloAlto. Более 230 интеграций с ИТ/ИБ-системами.Преднастроенная интеграция с более чем 50 ИТ/ИБ-системами разных классов. Преднастроенная интеграция с более чем 100 ИТ/ИБ-системами разных классов.
2.2.18. Наличие двухстороннего взаимодействия с интегрированными системамиДвухстороннее взаимодействие с подключенными системами через RESTful API, передача данных в JSON-формате, доступ ко всему функционалу решения, доступ к интерактивному REST API-браузеру для оценки всех возможностей.Поддержка двухсторонней интеграции с некоторыми ИТ/ИБ-системами с синхронизацией данных (Mirroring).В зависимости от интеграции.В зависимости от интеграции.Да, двухстороннее взаимодействие с подключенными системами.
2.2.19. Возможность создания пользовательской интеграцииДа, Resilient SDK для создания Resilient Apps в формате Kubernetes-контейнеров или программных расширений. В контейнерах запущена среда Python 3.6.8 и фреймворк Resilient Circuits для реализации обмена текстовыми сообщениями через протокол STOMP и REST API-взаимодействие с самой платформой Resilient. Предоставляются шаблоны для создания кастомного приложения. Механизм работы с внешними ИТ/ИБ-системами реализован через механизм функций (Functions), с помощью которого можно отправить данные из карточки инцидента (статические или динамически полученные) через место назначения сообщения (Message Destination) во внешнюю систему и получить результат их обработки в формате JSON, с последующим изменением данных в карточке инцидента, приложением файла-аттача, добавлением записи в таблицу данных и т.д. Существует портал для разработчиков, GitHub-репозиторий и сообщество.Да, создание пользовательских интеграций с помощью функционала BYOI (Bring Your Own Intergration). Использование Cortex XSOAR IDE для разработки скриптов автоматизации на Python (версии 2.7 или 3.x).Да, создание пользовательских интеграций и действий (Actions) через встроенную среду IDE на Python 2.7. Просмотр, правка исходного кода коммерческих интеграций и действий, а также импорт, экспорт, управление ими в среде IDE. Подсветка синтаксиса Python 2.7, возможность добавлять библиотеки через Python PIP. Контроль версий, история версий, возможность отката к предыдущей версии.Нет.Да. Универсальный механизм создания новых коннекторов, реализованный по принципу Low-code.
2.2.20. Поддержка бескодовой интеграции с ИТ/ИБ-системамиБескодовая интеграция с механизмом Resilient App Host.Нет.Нет.Нет.Нет.
2.2.21. Интеграция с системами Threat IntelligenceДа, встроенная интеграция с TI-сервисами (IBM X-Force Exchange, AlienVault, iSight Partners, SANS Internet Storm Center, VirusTotal), возможность добавить дополнительные TI-фиды, подключить собственный TI-сервис через REST API. Возможность использовать GeoIP фиды.Да, поддержка создания пользовательских полей в индикаторах и пользовательских типов индикаторов компрометации, настройка отображения карточки индикатора. Анализ репутации индикаторов с помощью функционала DBot. Обработка TI-данных может осуществляться с помощью функционала DBot, интегрированного с мессенджером Slack. Получение индикаторов через интеграции (TI-фиды и сервисы обогащения TI-данных), из событий ИБ (например, из SIEM-систем), вручную (загрузка STIX-файлов в решение). Возможность экспорта и импорта индикаторов (форматы CSV, STIX). Учет достоверности источника TI-данных. Учет устаревания индикаторов. Запуск плейбуков при поступлении обновлений от TI-фидов. Возможность экстракции индикаторов из поступающих событий ИБ и немедленного их использования в качестве параметров в плейбуках. Использование технологии fuzzy hashes (SSDeep-хэшей).Да, технология Siemplify ThreatFuse в партнерстве с киберразведователь-ной компанией Anomali для сбора, анализа и управления TI-данными и индикаторами компрометации с применением методов машинного обучения. Получение данных от TI-фидов в рамках настроенных интеграций. Возможность создания пользовательского индикатора и внесения данных вручную.С помощью решения для управления данными киберразведки R-Vision Threat Intelligence Platform.С помощью решения для управления данными киберразведки Security Vision Threat Intelligence Platform.
2.2.22. Наличие маркетплейсаМаркетплейс и GitHub-репозиторий.Встроенный маркетплейс с контент-паками (бесплатными и платными), включающими в себя интеграции, плейбуки, дашборды, скрипты автоматизации, сценарии использования (use cases), отчеты. Портал с приложениями от Palo Alto и партнеров.Маркетплейс с шаблонами плейбуков, сценариями использования (use cases), интеграциями, которые могут загружаться вендором, сторонними пользователями (после вендорской проверки), а также самим конечным пользователем системы. Возможность офлайн-загрузки обновлений контента (через ZIP-архивы).Нет.Нет.
2.2.23. Агенты реагированияНет.Использование D2-агентов для ОС Windows, Linux, MacOS для выполнения на удаленных устройствах действий по реагированию (скрипты, команды), для сбора форензик-данных. На Windows-устройствах поддерживается удаленное выполнение команд получения списка запущенных процессов, сервисов, WMI-запросов, обращение к реестру, файловой системе, учетным записям, сетевой конфигурации, получения дампа ОЗУ.Агент для выполнения действий по реагированию на удаленных площадках: кросс-платформенное (Windows, Linux) Python-приложение, устанавливаемое как on-prem, так и в облачной среде (с поддержкой запуска из Docker-контейнера). Агент взаимодействует с прокси-сервером (Publisher) по HTTPS для получения новых команд и отправки собранных данных.Нет.Нет. Опционально при необходимости, реализуется в качестве отдельно поднятого сервиса по реагированию.
2.3. Механизмы внутренней кросс-модульной интеграции
2.3.1. Взаимодействие между модулями решенияНативная интеграция с SIEM-системой IBM QRadar (обмен данными об инцидентах, запрос событий) и с провайдером данных киберразведки IBM X-Force Exchange.Использование внутренних пользовательских справочников («Lists») с хранением текстовых данных, JSON-объектов и файлов, доступных для использования в автоматизациях, плейбуках, скриптах, «командных центрах».Поддерживается ручное создание задач.Управление и реагирование на киберинциденты реализовано на базе многофункционального решения, которое позволяет интегрировать данные по инцидентам с уязвимостями, активами, аудитами, задачами, киберрисками. Продукты IRP, SGRC, SENSE, TDP, TIP, КИИ, ГОССОПКА являются отдельными продуктами.Платформа предназначена для управления и автоматизации ИБ. На единой платформе работают продукты и модули IRP / SOAR / SGRC. Позволяет автоматизировать такие процессы ИБ, как: управление инцидентами, управление активами и инвентаризацией, управление уязвимостями, анализа угроз кибербезопасности (TI), взаимодействие с НКЦКИ (ГосСОПКА), ФинЦЕРТ, управление рисками кибербезопасности, управление соответствием, управление операционными рисками. Все функциональные модули могут взаимодействовать между собой как с точки зрения обмена данными и обогащения, так и для реализации логики рабочего процесса обработки.
2.3.2. Интеграция с системой управления киберрискамиНет.Нет.Нет.Да.Да.
2.4. Управление инцидентами (кейс-менеджмент)
2.4.1. Настройка карточки инцидентаНастройка отображения карточки инцидента (функция Incident Layouts). Использование таблиц данных в карточке инцидента для отображения сведений по инциденту в табличном виде, для возможности записи в них данных, полученных от подключенных ИТ/ИБ-систем, и дальнейшего использования этих данных внутри продукта. Поддержка создания произвольных полей карточки инцидента. Поддержка установки таймеров выполнения для полей инцидентов (для построение временных метрик реагирования, для переключения рабочего процесса на альтернативный маршрут в случае превышения времени ожидания). Поддержка добавления HTML-элементов в карточку инцидента.Поддерживается создание пользовательских полей в карточке инцидента. Возможность просмотра выполняющегося плейбука в режиме реального времени, возможность назначать задачи из интерфейса просмотра инцидента (вкладка Work Plan). Полная кастомизация свойств и внешнего вида карточки инцидента с учетом прав доступа пользователей. Возможность автоматизации создания и заполнения свойств карточки инцидента с помощью скриптов (Python, PowerShell, JavaScript).Настройка отображения кейсов, фильтрация, сортировка.Возможность настройки представления карточки инцидента в графическом редакторе, поддержка установки представления в зависимости от роли пользователя. Настройка полей описания инцидента, отображающихся в зависимости от типа инцидента.Гибкая настройка карточки инцидента в графическом редакторе и с помощью графического или HTML-редактора. Возможность произвольного расположения полей на карточке (без предустановленной «сетки»). Возможность создания вкладок в карточке. Возможность настройки состава отображаемых данных связанных объектов (активов, уязвимостей и т.д.). Возможность настройки представления в зависимости от роли пользователя. Форматирование, валидация и автозаполнение полей карточки в зависимости от значения поля и других полей.
2.4.2. Модель разграничения доступа к данным инцидентовГранулированное предоставление доступа к объектам на основе ролевой модели, что позволяет предоставлять доступ к определенным инцидентам с определенными правами (создание, просмотр, редактирование, выполнение задач, создание отчетов, закрытие или удаление инцидентов), а также к артефактам, симуляциям, задачам, входящим email-сообщениям с подключенного к Resilient почтового ящика. Создание пользовательских ролей. Возможность отображения значения свойства инцидента только при выполнении определенных логических условий. Установка прав доступа для API-токенов (API keys).Создание пользовательских ролей, гранулированные права доступа (запрет на доступ, только чтение, чтение и изменение) к модулям решения, возможность предоставления роли на определенное время (например, на время дежурства аналитика в SOC). Прозрачная аутентификация любого пользователя домена на Self-Service-портале с минимальными правами на чтение (заведение инцидента, просмотр статуса своей заявки). Предоставление гранулированных прав доступа (без доступа, только чтение, чтение и запись) к инцидентам и расследованиям с помощью ролевой модели доступа, а также предоставление доступа к чувствительным инцидентам только определенным сотрудникам (Team Members).Пользователи присваиваются определенному «департаменту», чьи члены будут участвовать в обработке инцидентов. Назначается роль аудитора, который может просматривать все инциденты, закрывать и повторно открывать их. Присутствует роль «Администратора» с полными правами, роль с правами только на чтение, роль для стандартных пользователей. Установка прав доступа для пользователей и API-токенов (API keys). Возможность задания ограничений на использование определенных действий (Actions). Возможность создания до 20 пользовательских ролей.Разграничение доступа к инцидентам на основе ролевой модели. Включение пользователей в рабочую группу инцидента автоматически (через сценарии реагирования) или вручную (в свойствах инцидента).Разграничение доступа к инцидентам на основе ролевой модели. Возможность ограничивать доступ к инцидентам на основании любых свойств инцидента. Возможность ограничивать доступ к просмотру определенных свойств конкретных объектов (например, определенных свойств инцидентов, содержащих конфиденциальную информацию).
2.4.3. TLP-метки конфиденциальности инцидентовДа, с использованием интеграций.Нет.Нет.Нет.Да, в карточке модуля взаимодействия с НКЦКИ. Данный тип метки может быть импортирован в любую другую карточку инцидента.
2.4.4. Возможность создания вложений в карточку инцидентаДа, возможность создания произвольных вложений в карточке инцидента.Да, поддерживается создание вложений («свидетельств») к инцидентам.Да, поддерживается добавление вложения в кейс.Да, возможность добавления файлов свидетельств к инциденту, с расчетом контрольной суммы файла.Да, возможность добавления неограниченного количества полей типа «Файл» в карточку инцидента (например, «Объяснительные», «Артефакты», «Аналитические отчёты» и т.д.). Возможность обмена файлами в рамках чата внутри карточки инцидента.
2.4.5. Создание пользовательских типов инцидентовПоддержка создания новых типов и подтипов инцидентов с иерархической структурой (родительские / дочерние типы инцидентов). Правила реагированию присваиваются определенным типам инцидентов для корректной обработки тех или иных ситуаций.Предоставляется возможность создания пользовательских типов инцидентов с кастомизированными полями карточки инцидента.Создание пользовательских типов кейсов.Создание пользовательских категорий и типов инцидентов, уровней критичности, способов реализации, шаблонов инцидентов.Создание пользовательских категорий и типов инцидентов, уровней критичности, способов реализации, шаблонов инцидентов.
2.4.6. Приоритизация инцидентовПриоритизация инцидентов на основе логики правил и рабочих процессов.Приоритизация инцидентов на основании правил в плейбуках на основании рекомендаций машинного обучения.Настройка приоритетов последовательного выполнения плейбуков (до 3-х плейбуков) для одного типа события.Приоритизация инцидентов выполняется через настройки рабочего процесса обработки инцидентов.Автоматическая приоритезация инцидентов на основании логики рабочего процесса (включая расчёт по пользовательским формулам с использованием других данных платформы – активов, пользователей, уязвимостей, рисков и т.д.). Ручная приоритезация инцидентов пользователями.
2.4.7. Отсеивание ложноположительных инцидентовНет.Отсев ложноположительных срабатываний на основании данных машинного обучения.С помощью механизма Overflow Mechanism, который используется для фильтрации «шума» — ложноположительных срабатываний, малозначимых предупреждений.Да, ручное.Да, ручное и автоматическое с механизмом «обучения».
2.4.8. Корреляция и дедупликация инцидентовНет.Да, дедупликация вручную, в рамках работы плейбука (3 предустановленных плейбука, включая плейбук с машинным обучением), с помощью скриптов, правил пре-процессинга и таблицы дублирующихся инцидентов (Dropped Duplicate Incidents). Корреляция инцидентов по индикаторам, по типам инцидентов.Да, обработка входящего потока и маппинг свойств входящих событий на свойства платформы Siemplify осуществляется через встроенный механизм Data Processing Engine (DPE). Корреляция событий ИБ осуществляется механизмом Alert Grouping для объединения поступающих в систему событий ИБ в кейсы путем анализа временных характеристик и свойств событий.Да, возможность автоматической экстракции значений свойств инцидентов на основе тэгов (из входящих сообщений электронной почты и API-интеграций) и regex-выражений (из результатов работы скриптов автоматизации).Да, обширные возможности по работе с данными, получаемыми посредством интеграций – парсинг и нормализация, очистка и валидация, фильтрация и дедупликация, корреляция. Группировка событий в единый инцидент по настраиваемым признакам. Установка взаимосвязей инцидентов по настраиваемым признакам.
2.4.9. Работа с индикаторами компрометацииДа, граф визуализации инцидента с указанием связей артефактов и timeline. Взаимное связывание инцидентов, имеющих одинаковые значения артефактов определенного типа. Создание пользовательских типов артефактов.Да, добавление индикаторов компрометации из событий ИБ, отправляемых в решение (например, от SIEM-систем). Использование интеграций для обогащения данных по индикаторам. Поддержка связывания инцидентов между собой на основании совпадающих индикаторов (например, значений хэш-сумм). Графическое отображение похожих инцидентов, например, в которых замечены одинаковые индикаторы компрометации.Да, построение визуальных моделей (24 предустановленных моделей) и связей между источниками событий, сущностями (субъектами и объектами инцидента), индикаторами, событиями, инцидентами с помощью механизма Ontology. Визуальное отображение развития инцидента, поступающих событий, связей между субъектами и объектами инцидента.Да, реализация полноценного процесса обработки данных по индикаторам компрометации – получение данных, анализ и обработка, проверка наличия признаков компрометации в инфраструктуре, автоматическое добавление в средства защиты, использование в процессах реагирования на инциденты.Да, реализация полноценного процесса обработки данных по индикаторам компрометации – получение данных, анализ и обработка, проверка наличия признаков компрометации в инфраструктуре, автоматическое добавление в средства защиты, использование в процессах реагирования на инциденты.
2.4.10. Построение timeline инцидентаДа, построение timeline инцидента в графах визуализации инцидентов.Да, построение timeline инцидента в виде записей в «командном пункте» инцидента.Да, данные по инцидентам выстраиваются в хронологическом порядке в «командном центре». Поддерживается построение визуальных timeline событий ИБ, имеющих отношение к кейсу. Возможность графического «воспроизведения» последовательности событий, имеющих отношение к кейсу.Да.Да.
2.4.11. Опции совместной работы над инцидентомДа, разделение интерфейса продукта на рабочие пространства (Workspace) для предоставления совместного доступа или изоляции отображаемых инцидентов для различных подразделений / отделов компании. Совместная работа может быть организована через функционал задач (Tasks), в которых, в зависимости от значений свойств карточки инцидента, аналитикам ставится та или иная задача, контролируется процесс ее решения. Задачи могут также назначаться в зависимости от фазы инцидента.Да, совместная работа в виртуальном пространстве «командного пункта» (War Room) инцидента.Да, совместная работа над инцидентами ведется в едином интерфейсе «командного центра» (Command Center), в котором ведется обмен информацией между аналитиками и участниками расследования, отображается текущий статус инцидента и актуальные задачи по его обработке, временной график работы с кейсом.Да, совместный просмотр и работа с инцидентами из вкладки «Инциденты».Да, совместный просмотр и работа с карточками инцидентов группы аналитиков. Дополнительно в карточке доступен чат команды.
2.4.12. Возможность постановки ручных задач реагированияДа, постановка задач сотрудникам для ручного выполнения с помощью функционала Tasks.Да, назначение задач (Tasks) сотрудникам: ручные (To Do Tasks) или являющиеся частью плейбука, с указанием времени ожидаемого выполнения.Да, возможность задания ручных действий, требующих непосредственного вмешательства сотрудника (выбор варианта, ответ на вопрос).Да, запрос информации у пользователя (отправка запроса по email и получение / парсинг ответа). Ручное решение в сценарии реагирования: выбор пользователя, не более 3-х вариантов ответа.Да, постановка задач сотрудникам для ручного выполнения с помощью настройки рабочего процесса реагирования.
2.4.13. Функционал оповещенийПоддержка функционала оповещений через различные каналы связи путем интеграции с ПО Everbridge и путем установки приложения Slack Integration for Resilient. Доступ к мессенджеру Slack с мобильных устройств.Оповещения через email, через мессенджер Slack, работа через приложение Cortex XSOAR Enterprise mobile app (для платформ iOS, Android) с возможностями по управлению инцидентами, просмотром дашбордов, обработкой вложений, получением и отправкой сообщений.Оповещения внутри веб-портала в виде уведомлений, отправка уведомлений по email, отправка push-уведомлений пользователям, чье ручное действие требуется в плейбуке для продолжения реагирования. Отправка уведомлений в случае, если плейбук «завис» с ошибкой выполнения. Создание HTML-шаблонов для email-сообщений.Поддержка настраиваемых сообщений посредством следующих каналов связи:
·Лента событий
·E-mail
·Telegram.
Поддержка настраиваемых сообщений посредством следующих каналов связи:
·Звук, сирена
·Лента событий
·E-mail
·SMS
·Telegram

Возможность настройки нового типа оповещения посредством механизма коннекторов.
2.4.14. Реализация концепции ChatOpsРеализация концепции ChatOps путем установки приложения Slack Integration for Resilient.Концепция ChatOps реализована через интеграцию решения XSOAR с мессенджером Slack через функционал DBot, что позволяет анализировать индикаторы и артефакты из единого интерфейса, доступного для различных платформ, в том числе мобильных. Чаты по инцидентам для совместной работы аналитиков в «командном пункте».Нет.Нет.Частично через функционал чатов по заявкам.
2.4.15. Чаты по инцидентамФункционал ввода пользовательских данных в карточку инцидента при работе с ним.Коммуникация по инцидентам реализована в «командном пункте» инцидента в виде чата. Поддержка чатов по инцидентам в мессенджере Slack и в приложении Cortex XSOAR Enterprise mobile app (для платформ iOS, Android).Возможность «упоминания» пользователя или группы в кейсе с автоматической отправкой оповещения. Возможность отправить сообщение члену команды из интерфейса просмотра кейса. Информирование команд реагирования путем размещения оповещений (Announcements), появляющихся в ленте событий всех пользователей.Нет.Да, отдельный чат в рамках каждого инцидента.
2.4.16. Поддержка создания аудиторского следа (audit trail)Нет.Запись всех действий по инциденту в рамках виртуального «командного пункта», создаваемого для каждого инцидента. Запись действий, произведенных администраторами в системе XSOAR, отправка на внешний syslog-сервер.Хранение закрытых кейсов в соответствии с установленным временным периодом (retention period) хранения данных.Да, ведение журнала всех изменений по инциденту.Да, ведение журнала всех изменений по инциденту.
2.4.17. Поддержка матрицы MITRE ATT&CKНет.Да, поддержка матрицы MITRE ATT&CK, связывание индикаторов компрометации с TTPs.Нет.Нет.Да, поддержка матрицы MITRE ATT&CK в модуле Расследования.
2.4.18. Ведение базы знаний решенных инцидентовВозможность указывать инструкции и рекомендации в задачах по реагированию (в свойстве Instructions). Ведение внутренней Resilient Wiki с указанием важной информации, инструкций, справочной информации, с разграничением прав доступа (просмотр и создание / изменение / удаление) на основе ролей.Анализ решенных инцидентов с применением методов машинного обучения для выдачи рекомендаций и классификации новых инцидентов.Создание базы знаний о событиях и кейсах в системе, учет связей между источниками событий, сущностями (субъектами и объектами инцидента), индикаторами, событиями, инцидентами с помощью механизма Ontology путем построения моделей данных. Построенная модель данных позволяет автоматически обрабатывать новые входные данные и выполнять соответствующие автоматические действия реагирования (Actions).Да, при помощи накопления хронологии инцидентов и их решений с ручным поиском.Да, при помощи функционала «Базы знаний / решений», в которой накапливается и анализируется информация по ранее решенным инцидентам. Возможность поиска наиболее подходящего решения на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом «обучения с учителем» (при использовании совместно с модулем BigData).
2.5. Реагирование на киберинциденты
2.5.1. Выполнение типов действий по реагированиюПоддержка ручных и автоматических действий по реагированию в рамках рабочего процесса: ручные действия (функционал Menu Item) подразумевают нажатие определенной интерактивной кнопки в выпадающем меню действий, автоматические действия выполняются при удовлетворении определенных условий без взаимодействия с пользователем.Реагирование в плейбуках и задачах с помощью выполнения ручных и автоматических действий (скриптов).Реагирование в плейбуках с помощью выполнения автоматических действий (Actions) и ручных операций.Автоматизация реагирования на инциденты с помощью выполнения действий по инциденту (в зависимости от типа инцидента) и сценариев реагирования (последовательность действий, выполняемых при выполнении предопределенных логических условий). Возможность выполнить ручные действия на интегрированных системах с помощью удаленного входа на устройство (WMI, MS RPC для Windows-систем; SSH / SNMP для Linux / Unix-систем, сетевого оборудования Cisco, Juniper, HP), выполнения на устройствах скриптов автоматизации (PowerShell, cmd, Bash), выполнения на коллекторах системы проприетарных скриптов R-Vision для автоматизации действий по реагированию.Автоматизация реагирования на инциденты с помощью выполнения скриптов и действий по инцидентам, настраиваемых через функционал «Рабочих процессов». Возможность выполнить ручные действия на интегрированных системах. Возможность выполнения действий через коннектор реагирования, в котором поддерживаются следующие протоколы и механизмы:

·Apache Kafka
·DNS
·HTTP
·HTTPS
·IBM MQ
·IMAP
·POP3
·PowerShell
·RPC
·REST
·SMTP
·SNMP
·SOAP
·SSH
·SSL
·TLS
·WMI
·механизм подключения к Microsoft SQL
·механизм подключения к MySQL
·механизм подключения к Oracle
·механизм подключения к PostgreSQL
·механизм подключения к Active Directory
·механизм подключения к Exchange.
2.5.2. Логика выполнения действий по реагированиюПоддержка выполнения действий при наступлении заранее описанных логических условий. Условие может включать в себя поле, математическое выражение или значение, рассчитанное в том числе с помощью Python-скриптов. Условия могут быть объединены с помощью логических И / ИЛИ. Действия могут быть также выполнены при условии получения определенных данных от подключенных систем.Реагирование при выполнении логических условий, с запросом пользователей (в том числе через заполнение опросника).Реагирование (запуск плейбуков) путем исполнения предопределенного набора действий, применяемых при выполнении триггеров и логических условий для каждого из типов событий.Запуск сценариев реагирования при выполнении логических условий (сравнение значения поля, связанного актива), возможность комбинировать логические условия (И / ИЛИ).Выполнение действий по реагированию в рамках сценария реагирования в зависимости от выполнения логических условий (соответствие значений полей инцидента заданным критериям) с возможностью построения сложных условий через операторы И / ИЛИ. Выполнение действий по инициативе пользователя. Запуск действий в определенное время, с определенной периодичностью.
2.5.3. Создание пользовательских действий по реагированиюВозможность добавления собственных действий по реагированию предоставляется с помощью создания Python-скриптов (поддерживаются версии Python 2.7 и 3.6), которые позволяют получать доступ к данным инцидентов и выполнять сложные действия на подключенных системах.Создание скриптов автоматизации на JavaScript, Python, PowerShell, которые запускаются при выполнении задач (Tasks), используемых в плейбуках и при выполнении команд в «командном пункте» (War Room). Скрипты могут получать доступ к объектам внутри решения, использовать внутренние API, получать и обрабатывать данные. Поддерживается защита скриптов с помощью паролей.Выполнение настраиваемых действий (Actions) с выполнением Python-скриптов.Выполнение действий по реагированию:

·Уведомление по email
·Назначение ответственного
·Изменение свойств инцидента
·Скрипт в формате Windows cmd, PowerShell, Linux Shell, Python, в формате R-Vision.
Возможность выполнения следующих типов действий:

·Изменение атрибутов / свойств инцидента (включая назначение группы обработки и / или ответственного)
·Создание новых объектов системы (задач по обработке, дополнительных действий и т.д.)
·Изменение атрибутов связанных объектов (активов, уязвимостей, задач и т.д.)
·Уведомление по email
·Вызов коннектора — скриптов на Windows cmd, Powershell, WMI, Linux Shell, Python, Java, JavaScript, Bash.
2.5.4. Инструменты создания пользовательских сценариевПредоставляется Resilient Python SDK (включает в себя две библиотеки для Python версий 2.7 и 3.6) и фреймворк Resilient Circuits Integration, основанный на Python, для создания пользовательских функций и действий.Нет.Создание действий (Actions) через встроенную среду IDE на Python 2.7. Просмотр, правка исходного кода коммерческих действий, а также импорт, экспорт, управление ими в среде IDE. Подсветка синтаксиса Python 2.7, возможность добавлять библиотеки через Python PIP. Контроль версий, история версий, возможность отката к предыдущей версии.Нет.Графический конструктор рабочих процессов и коннекторов.
2.5.5. Доступ к изолированным сегментам сетейНет.Работа с изолированными сетевыми сегментами через механизм «движков» — серверов на Linux / Windows с установленным компонентом Cortex XSOAR Engine, которые получают события ИБ и выполняют команды интеграций в изолированных сегментах, отправляя данные на центральный сервер решения.Выполнение действий по реагированию на удаленных площадках с помощью кросс-платформенных (Windows, Linux) агентов, представляющих собой Python-приложение, устанавливаемое как on-prem, так и в облачной среде (с поддержкой запуска из Docker-контейнера). Агент взаимодействует с прокси-сервером (Publisher) по HTTPS для получения новых команд и отправки собранных данных.Да, с помощью установки распределенных компонент.Да, с помощью установки распределенных компонент.
2.6. Механизмы машинного обучения
2.6.1. Применение механизмов машинного обученияДа, поддержка методов машинного обучения (путем установки приложения) с выбором алгоритмов и настройкой моделей для прогнозирования значений полей карточек инцидентов, включая рекомендации по назначению наиболее подходящего аналитика, категоризации и приоритизации инцидентов.Да, использование механизмов машинного обучения для анализа разрешенных инцидентов и автоматической классификации новых инцидентов, закрытия ложноположительных инцидентов, использования скоринговой модели для оценки уровня опасности инцидента. Анализ репутации индикаторов и артефактов с помощью функционала DBot, использующего машинное обучение. Использование скоринговой модели оценки опасности и достоверности индикатора на основании данных машинного обучения. Рекомендации по назначению наиболее подходящего аналитика на тот или иной инцидент.Нет.Нет.Да, поддержка принятия решений по реагированию на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом «обучения с учителем». Модуль семантического анализа инцидентов, содержащий модель машинного обучения и выполненный с возможностью автоматического определения и выполнения команд реагирования на инциденты кибербезопасности. Использование алгоритмов машинного обучения для выявления аномалий обеспечивает автоматическое создание инцидентов c возможностью автоматического определения команд реагирования на инцидент.
2.6.2. Возможность загрузки пользовательских моделей машинного обученияДа, настройка загружаемых моделей.Да, поддержка модели «Обучение с учителем», возможность создания пользовательских ML-моделей.Нет.Нет.Да.
2.7. Визуализация данных, отчетность по инцидентам
2.7.1. Визуализация данных по инцидентамДашборды Activity Dashboard для всех пользователей с новостями по инцидентам (News Feed), списком назначенных пользователю задач. Аналитические дашборды (Analytics Dashboard) с диаграммами и графиками данных по инцидентам. Просмотр данных в табличном и графическом виде. Экспорт данных в CSV, сохранение графиков в форматах JPG, PNG, SVG. Создание пользовательских графиков и диаграмм (столбчатые, круговые), отображение произвольных данных в таблицах. Построение временных графиков обработки инцидентов (отображение времени, затраченного на обработку каждой фазы инцидента) с функцией Time Tracker.Визуализация данных в полностью настраиваемых дашбордах и виджетах, представление информации и инцидентов в виде диаграмм, графиков, таблиц, текста. Визуализация выполнения SLA, поле в карточке для учета параметров SLA и отправки уведомления в случае их нарушения, вывод отчетов в формате CSV с указанием SLA-метрик. Создание пользовательских дашбордов и виджетов, возможность расшарить дашборды с учетом ролевой модели доступа. Создание виджетов с помощью JSON-файлов и скриптов (JavaScript, Python, PowerShell), на основе поискового запроса к списку инцидентов. Графическая визуализация инцидентов и индикаторов с отображением взаимосвязей.Визуализация данных по инцидентам в дашбордах с отображением описания инцидента, рисков, ожидаемого ущерба, временных меток для задач реагирования, графика изменения уровня опасности инцидента. Дашборды кастомизируются в ограниченном объеме — можно добавить лишь некоторые предопределенные элементы. В дашбордах можно разместить кастомизируемые виджеты (не более 12) с отображением диаграмм, графиков, таблиц. Поддерживается расшаривание дашбордов и сохранение данных дашборда в отчете. Отображение статистики, графиков работы и метрик эффективности для каждого плейбука через дашборд или из свойств самого плейбука.Просмотр диаграммы действий по инциденту — графическое отображение-схема дерева действий по инциденту с визуализацией состояния действия. Просмотр прогресса процесса обработки инцидента (в процентном соотношении) в свойствах инцидента.

Типы графиков:
·Управление инцидентами (более 10 предустановлен-ных диаграмм);
·Управление активами (более 10 предустановлен-ных диаграмм);
·Управление рисками, включая визуализацию ущерба от киберинциден-тов

Функционал карт:
·Отображение инцидентов, активов, уязвимостей, групп ИТ-активов на географических картах
·Функционал Drill-Down (переход с карты на инциденты/активы с просмотром подробных сведений)

Функционал схем:
·Связывание произвольных типов инцидентов/активов друг с другом
·Визуализация активов на сетевой схеме.

Функционал дашбордов:
·Диаграммы и метрики, отображающие историю, текущие статусы, события и статистику
Встроенный конструктор отчетов и дашбордов для использования любых данных и тонкой настройки отображаемой информации. Экспорт графических представлений в форматы pdf, jpg, png. Импорт графических представлений из форматов jpg, png. Во всех графических представлениях предусмотрен поиск по объектам, функционал Drill-Down, быстрый переход к связанным объектам (активам, инцидентам). Графические представления (виджеты) с поддержкой интерактивного взаимодействия для формирования дашбордов любого состава и конфигурации.

Предустановленные типы отображения данных для виджетов:
·Линейный график
·Гистограмма
·Таблица
·Секторная диаграмма
·Список
·Календарь инцидентов

Предустановленные панели визуализации:
·Операционный дашборд (информация по киберинцидентами)
·Тактический дашборд (статистическая информация, визуализация динамики инцидентов)
·Общий дашборд по рискам (визуализация динамики киберрисков, распределение рисков, история)
·Расширенный дашборд по рискам для информационных систем (распределение рисков, история).

Географическая карта с визуализацией зданий, населенных пунктов, планеты. Отображение характеристик, взаимосвязей, взаимодействий между объектами, включая активы и инциденты, с отображением доступности устройств и сервисов.
2.7.2. Отчетность по инцидентамЭкспорт отчетов по инцидентам в формат Excel, создание пользовательских шаблонов отчетов.Экспорт данных инцидента в CSV-файл, возможность создать отчет из интерфейса просмотра инцидента. Отчетность с предоставлением статистической информации за определенный временной период, с экспортом в форматы PDF, DOC, CSV. Возможность задать внешний вид отчета и перечень секций с данными, добавить виджет в отчет, запланировать выпуск отчета, отправить по email, выпустить отчет из карточки инцидента. Расчет и визуализация ROI продукта XSOAR на основе данных о времени аналитиков, сэкономленном с помощью автоматизации.Поддерживается экспорт отчетов по инцидентам в формате DOC, экспорт плейбуков в форматы CSV, PDF, в графический формат. Экспорт отчетов по работе системы (действия пользователей, история подключений) в CSV. Назначение временных SLA-метрик для кейсов с отображением статистики по реагированию. Создание отчета (в формате DOC) по показателю ROI (Return on investment, возврат инвестиций) для решения. Создание отчетов (в форматах PDF, DOC) по эффективности работы SOC-Центра, анализ работы сотрудников, анализ метрик обработки кейсов, с возможностью запланировать выпуск отчетов и с опцией создания пользовательских отчетов с включением графических элементов.Экспорт отчетов в форматах docx, pdf. Создание отчетов по расписанию и вручную, отправка по email. Создание пользовательских отчетов. Предустановленные отчеты.Встроенный конструктор отчетов и дашбордов для использования любых данных и тонкой настройки отображаемой информации. Создание отчетов по произвольным данным, получаемым путем создания SQL-запросов к БД. Полная настройка под нужды заказчика. Экспорт отчетов в форматах xlsx, docx, pdf, xml, csv. Создание отчетов по расписанию и вручную, доставка по email / в файл / по API в форматах xml, pdf, doc, xls, ppt. Возможность подготовки отчёта по определенному шаблону из карточки инцидента. Возможность построения сводных отчетов по параметрам справочников / перечней, использования аналитических и прогнозных инструментов анализа данных с графическим отображением, интеграции с внешними системами визуализации. Предустановленные отчеты.
2.7.3 Возможность дополнительной пользовательской аналитики данных.Нет, частично в рамках поисковых запросов.Да, использование поисковых запросов дает возможность сложной аналитики и повторного использования полученных данных в дашбордах.Нет, частично в рамках поисковых запросов.Нет, частично в рамках поисковых запросов.Да, операции с данными, сложные поиски, группировки и представления достуСценарии автоматизации и реагированияпны в модуле «Аналитика».
2.8. Справочники, базы нормативных актов
2.8.1. Создание и использование справочниковДа, возможность создания пользовательских справочников.Да, использование пользовательских справочников (Lists) с хранением текстовых данных, JSON-объектов и файлов, доступных для использования в автоматизациях, плейбуках, скриптах, «командных центрах».Да, ведение пользовательских списков (Custom Lists) с занесением в них произвольных текстовых данных и использованием записей в качестве триггеров для плейбуков.Да, возможность создания пользовательских справочников для использования во всех модулях решения, включая управление инцидентами.Да, возможность создания пользовательских справочников для использования во всех модулях решения, включая управление инцидентами.
2.8.2. Использование базы нормативных актов (интегрированные возможности SGRC / auto-SGRC)Частично. Выполнение законодательных требований при утечке персональных данных реализовано в модуле Privacy add-on. В базу нормативных актов внесено более 170 международных, государственных, локальных нормативных требований (GDPR, HIPAA, CCPA и т.д.), включая нормативные положения всех штатов США. В модуле указываются юрисдикция компании и тип данных, которые она обрабатывает; на основе этого осуществляется автоматическое выполнение некоторых действий, предписанных законодательством.Нет.Нет.Частично. Предустановленные нормативные акты: 152-ФЗ, НПА ФСТЭК России (Приказы №№17, 21, 31, 239), PCI DSS (3.1, 3.2), SWIFT’s Customer Security Programme, ISO 27001, ГОСТ Р ИСО / МЭК 27001-2006, 382-П, СТО БР ИББС-1.0-2014, ГОСТ Р 57580.Да, предустановленные нормативные акты: 187-ФЗ, 152-ФЗ, GDPR, НПА ФСТЭК России (Приказы №№17, 21, 31, 235, 239), PCI DSS (3.1, 3.2), SWIFT’s Customer Security Programme, SWIFT CSCF 2020, ISO 27001, ГОСТ Р ИСО / МЭК 27001-2006, 382-П, 672-П, 683-П, 684-П, 716-П, СТО БР ИББС-1.0-2014, ГОСТ Р 57580. Автоматическая корректировка настроек средств и систем
с помощью механизма auto-SGRC: автоматическое изменение настроек ОС / ПО / СЗИ для соответствия внутренним нормативным требованиям / возврата к baseline-настройкам.
2.9. Опции для MSSP-провайдеров
2.9.1. Поддержка MSSP-провайдеровДа, поддержка MSSP-провайдеров реализована в модуле MSSP add-on.Да, расширенная поддержка режима Multitenancy.Да, продвинутая поддержка Multitenancy для MSSP-провайдеров и коммерческих SOC-Центров. Да.Да.
2.9.2. Разделение данных для тенантовРазделение рабочих процессов реагирования для разных клиентов осуществляется через функционал построения иерархии организаций с различными независимыми плейбуками. Создание глобальных объектов (дашборды, плейбуки) для контроля инфраструктур заказчиков.Полная изоляция данных между тенантами. Возможность распространения на тенанты создаваемых централизованно плейбуков, скриптов автоматизации, интеграций, виджетов, дашбордов. Возможность обмена индикаторами компрометации между тенантами. Для каждого тенанта поддерживается выделенный контроль SLA-метрик, отчетность, отправка уведомлений, выполнение скриптов автоматизации в случае нарушения SLA-метрик.Поддержка функционала «мульти-среды» (multi-environments) для обработки инцидентов нескольких клиентов / компаний («сред») одновременно. Предоставление доступа к «командному центру» только для определенных «сред». Запуск и предоставление доступа к элементам решения (кейсы, дашборды, плейбуки, событий, сущности и т.д.) на основании их принадлежности к определенной «среде». Предоставление ролевой модели разграничения доступа к «средам» для пользователей и API-токенов (API keys). Установка временного периода (retention period) хранения данных по закрытым кейсам для «сред». Назначение своих SLA-метрик для каждой из «сред». Установка прав доступа для API-токенов (API keys) для каждой из «сред».Да, с поддержкой разграничения доступа и ролевой модели для MSSP без физического разделения данных.Да, с поддержкой гранулярного разграничения доступа для MSSP, включая возможность физического разделения данных.

Вывод по разделу №2:

Тенденции:

Функциональные возможности IRP / SOAR-систем демонстрируют основные тенденции современных способов автоматизации процессов реагирования на киберинциденты: интеграция с большим количеством разнородных систем для обогащения и контекстуализации данных об инцидентах и автоматизированного устранения и локализации угроз, отражение логики процессов реагирования в виде графических плейбуков, возможность создания пользовательских сценариев реагирования, предоставление инструментов совместной работы аналитиков ИБ (в виде единого интерфейса и реализации концепции ChatOps), взаимодействие с системами управления данными киберразведки, построение хронологии инцидента с документированием и сбором форензик-данных, визуализация обработанных данных в дашбордах, виджетах, отчетах. Находят свое применение и системы машинного обучения, искусственного интеллекта, анализа Big Data: с их помощью аналитикам ИБ даются подсказки о наиболее подходящих способах реагирования, предлагаются варианты дальнейших действий, анализируются тренды, на кейсы назначаются наиболее подходящие по опыту сотрудники.

Интеграции:

Основным инструментом, без которого не может обойтись ни одна современная SOAR система, является модуль интеграций. Все решения обладают достаточно неплохим количеством готовых коннекторов из коробки. Но стоит отметить, что некоторые из отечественных и западных решений обладают встроенными средствами разработки собственных коннекторов по принципу Low-code, что существенно упрощает конечным пользователям осуществление самостоятельных интеграций с различными внешними системами. Также важна возможность кастомизации и гибкость для встраивания в сложную архитектуру ИТ/ИБ решений. Производители часто меняет интерфейсы взаимодействия, и возможность на лету внести нужные коррективы, не ожидая ответа от SOAR вендора, также является ключевым фактором при выборе решения.

Информационные системы не всегда готовы к внешним интеграциям из коробки. В некоторых ситуациях получение данных становится многоитерационным, разнесённым по времени процессом по генерации токена аутентификации, запросу на получение, ожиданию успешного выполнения запроса и, наконец, получению искомой информации. В случае реализации в компании таких решений, как Privilege Access Management Vault, эта возможность становится просто необходимой. Из рассмотренных продуктов подобной возможность обладают long live containers от Palo Alto и Security Vision, дающие возможность создания нескольких взаимосвязанных шагов и инструментарий обогащения получаемых из отчета данных «на лету», когда каждый из получаемых элементов отчета снабжается дополнительными данными из смежного элемента.

Инвентаризация ИТ активов является важным компонентом, интегрированным в российские решения в отличие от зарубежных. Зарубежные решения решают задачи инвентаризации в основном за счет интеграции со смежными решениями в том числе Asset Management. Для выгрузки и работы с Active Directory большинство вендоров используют собственные разработки и безопасные методы. При этом использование заимствованных скриптов для выгрузки данных (типа pyldap и ldapdomaindump) и взаимодействия с системами на платформе MS Windows (типа python impacket) не являются лучшими практиками в информационной безопасности и несут угрозы для Заказчиков, использующих решение.

Работа с инцидентами:

От того, на сколько удобно, информативно и интуитивно понятно будет сформирована карточка инцидента или другого объекта в системе, во многом зависит скорость обработки и, в конечном счете, ее качество. Очевидно, что карточка, регистрирующая DDoS атаку, должна сильно отличаться от карточки, сообщающей о потенциальной компрометации учетной записи администратора. Конструкторы Incident Layouts от IBM и Редактор представления от Security Vision дают возможность создавать пользовательские шаблоны инцидентов для наиболее эффективного управления вниманием SOC-аналитика.

Визуализация и отчетность:

SOAR призван стать единой витриной для консолидации данных об эффективности процессов SOC. Функциональность модуля поиска, аналитики, представления данных, а также подготовки отчетов в этом случае приобретает особое значение. И важно даже не количество предустановленных шаблонных представлений, функционал которых действующее подразделение ИБ быстро «перерастает». Важна возможность тиражирования аналитических пользовательских представлений внутри платформы. В противном случае метрики эффективности, согласованные с руководством, придется высчитывать, создавая сложные запросы напрямую к базе SOAR-решения, или, по старинке, в Excel. Решение R-Vision имеет достаточно хорошие предустановленные отчеты и визуализацию. При этом аналитический инструментарий продукта Palo Alto и модуль «Аналитика» в Security Vision дают возможность любого подсчета и представления данных.

Специфика российского рынка:

Зарубежные решения отличаются большей открытостью: есть маркетплейсы для скачивания готовых плейбуков, плагинов и интеграций, функционируют порталы для разработчиков с технической документацией и возможностью поделиться своими наработками с сообществом, поддерживаются GitHub-репозитории для свободного доступа к ним энтузиастов кибербезопасности, предоставляются бесплатные Community Editions коммерческих продуктов. У отечественных же решений присутствуют иные очевидные преимущества: база знаний с российскими нормативными требованиями, взаимодействие с системами ФинЦЕРТ и ГосСОПКА, интеграция с отечественными ИБ-решениями, широкая экспертиза в вопросах обеспечения соответствия законодательству и противостояния специфическим киберугрозам. Решение R-Vision интересно взаимодействием с модулями TIP (управление данными киберразведки), SENSE (выявление аномалий и анализ состояния ИБ), TDP (система ловушек-приманок для анализа действий атакующих), SGRC (управление информационной безопасностью компании). Модули/Продукты приобретаются отдельно, а непосредственно решение R-Vision IRP выглядит менее гибким при построении рабочих процессов реагирования на киберинциденты в сравнении с SOAR-системой Security Vision. В IRP / SOAR-платформе Security Vision широко применяются машинное обучение, искусственный интеллект и BigData, например, для предложения наиболее подходящего действия реагирования, анализа инцидентов и назначения оптимальной команды реагирования, для автоматического создания инцидентов в случае обнаружения аномалий. Модули Security Vision могут работать на одной платформе. В решении Security Vision применяется интересный механизм auto-SGRC для автоматической корректировки настроек ИТ / ИБ-систем для соответствия внутренним нормативным требованиям и возврата к baseline-настройкам.

РУНЦ «Безопасность» МГТУ им. Н.Э. Баумана

Об авторе РУНЦ «Безопасность» МГТУ им. Н.Э. Баумана

РУНЦ «Безопасность» является структурным подразделением МГТУ им. Н.Э. Баумана. Уже более 20 лет мы активно ведем работы в области информационных технологий и защиты информации. В своей деятельности мы опираемся на высочайший научный и инженерный потенциал ведущего технического ВУЗа Российской Федерации. Мы объединили в своем центре одних из лучших ученых и специалистов МГТУ им. Н.Э. Баумана.
Читать все записи автора РУНЦ «Безопасность» МГТУ им. Н.Э. Баумана

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *