По мере усложнения ИБ-ландшафта компании все чаще делают выбор в пользу платформенных решений, которые объединяют реагирование, мониторинг и управление в едином контуре, а не разрозненные инструменты под отдельные задачи. К таким продуктам относится Security Vision NG SOAR — решение, построенное на единой no-code платформе, позволяющей гибко настраивать существующие модули, расширять функциональность и создавать собственные сценарии. В статье — обзор возможностей Security Vision NG SOAR, его архитектуры и практики применения в корпоративных и регуляторных средах.
Что такое Security Vision NG SOAR
Security Vision NG SOAR — это комплексное решение для ИБ-специалистов, включающее модули управления инцидентами (SOAR) с встроенным SIEM и EDR-агентом, интеграцией с центрами мониторинга регуляторов (ГосСОПКА и FinCERT), управления активами и инвентаризацией (AM).
Продукт предназначен для автоматизации процесса реагирования на всех этапах обработки инцидента, от обнаружения и корреляции сырых событий, до устранения последствий при помощи ИИ и динамических плейбуков, автоматически подстраивающихся под инцидент, имеющиеся СЗИ, техники и тактики нарушителей. Среди отличительных особенностей продукта:
Встроенные SIEM и EDR
No-code конструктор правил корреляции с 1000+ правил «из коробки» дополнен движком автоматизации и оркестрации с возможностью сетевого управления и реагирования на местах при помощи EDR-агентов. Такой подход повышает автономность системы и гибкость при работе в сетях любой сложности с единым интерфейсом управления.
Локальные и внешние ИИ-помощники
Встроенные модели машинного обучения для анализа вердиктов инцидентов, скоринга ложноположительных срабатываний, снижения нагрузки на персонал и формирования базы знаний «что делать» с анализом всех инцидентов, состояний и жизненного цикла. Помимо локальных ML-моделей от вендора поддерживается интеграция с внешними LLM (например, YandexGPT, ChatGPT и DeepSeek) для управления чат-ботами, анализа индикаторов компрометации и помощи в решении задач и работы в команде.
Управление инцидентами и цепочками атак
Помимо классической работы с инцидентами, благодаря глубокой системе аналитики система обнаруживает неочевидные связи между объектами, строит маршруты нарушителей и графы достижимости для интерактивного управления инцидентами без необходимости открывать лишние карточки.
No-code конструкторы для кастомизации и полной прозрачности
Входящие в продукт возможности по управлению логикой работы модулей и внешним видом позволяют настроить компоненты системы для создания собственной витрины продуктов и доступов:
- конструктор объектов для управления карточками, таблицами, сбором и дедупликацией данных;
- конструктор рабочих процессов для автоматизации любых действий;
- конструктор коннекторов для управления интеграциями (сбор и реагирование);
- управление ролевой моделью и структурой меню;
- конструктор отчетов и аналитики (экспортируемые файлы, документация по шаблонам, виджеты и интерактивные дашборды).
Функционал
Единая платформа экосистемы Security Vision
Платформенный подход позволяет дополнять функционал системы за счет дополнительных модулей в трех направлениях: технологии (сканер и управление уязвимостями, харденинг и контроль параметров безопасности), процессы (моделирование угроз, оценка рисков и финансовых последствий, управление непрерывностью бизнеса, аудит и комплаенс, самооценка и пр.) и аналитика (обнаружение аномалий и машинное обучение, анализ угроз и киберразведка).
Динамические плейбуки
Объектно-ориентированный подход позволяет динамически подстраиваться под любые артефакты инцидента, цепочки атак и имеющиеся средства защиты. Эта технология позволяет автоматизировать реагирование без необходимости разрабатывать сценарии на каждый тип угрозы заранее, максимально уменьшая последствия и риски.
Ресурсно-сервисная модель
Модель данных, используемая в продукте, предназначена для фокусирования на критичных бизнес-процессах и объектах, отдельных помещениях и целых информационных системах — любых активах и группах.
Помимо управления активами и инвентаризацией (AM), в продукт встроены возможности управления состоянием и удаленного выполнения команд (CMDB), а при подключении собственного и/или внешнего сканера уязвимостей – управления автопатчингом и снижением поверхности атак.
Работа на всех фазах инцидента
Процесс работы Security Vision NG SOAR проходит через все фазы обработки инцидентов и решает задачи фокусного реагирования на угрозы ИБ полного цикла: подготовка, обнаружение, анализ, сдерживание, устранение, восстановление и пост-инцидент.
Преимущества Security Vision NG SOAR
К преимуществам решения относятся возможности глубокой интеграции, автоматизации аналитической работы и выстраивания взаимодействия с регуляторами в едином контуре безопасности.
Интеграция с любой ИТ- и ИБ-системой
Конструктор коннекторов позволяет самостоятельно, без привлечения вендоров, разрабатывать и внедрять интеграции с любыми продуктами за счет десятков двусторонних транспортных протоколов: API (HTTP), Kafka, SQL (MS SQL, MySQL, Postgres и Oracle), файлы (чтение/запись), электронная почта (IMAP, POP3, SMTP, Exchange), логи (Syslog, EventLog), удаленные (WMI, PowerShell, SSH, SshShell) и локальные (команды Bash, Unix shell, cmd, bat, Python, Java и др.) скрипты.
Анализ бюллетеней с ИИ и TI
Для быстрого доступа к мировой экспертизе в продукт заложен маппинг инцидентов с Threat Intelligence бюллетенями. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику быстрый доступ к информации о похожих атаках, данные о тактиках злоумышленников (TTPs), актуальные IOC/IOA и рекомендации по реагированию от поставщиков бюллетеня. Для анализа неструктурированных данных в бюллетенях любого формата используется отдельная ИИ-модель.
Интеграция с CERT/CSIRT, БДУ ФСТЭК и MITRE
Модуль позволяет построить SOC с полной двусторонней интеграцией с регуляторами (например, ГосСОПКА НКЦКИ и FinCERT ЦБ РФ) для своевременной автоматизированной передачи данных в центры мониторинга, управления задачами от регулятора и анализа всех поступающих сведений для обогащения инцидентов.
Недостатки
Однако среди ограничений платформы стоит учитывать особенности лицензирования, требования к ресурсам при активном использовании ML-функций и необходимость предварительного планирования интеграций.
Дополнительное лицензирование для MSSP
Для поддержки мультиарендности (multitenancy) в рамках одной инсталляции необходимо рассчитать количество юр. лиц, участвующих в обработке данных, что актуально для холдингов и групп компаний с in-house SOC и MSSP-провайдеров для оказания услуг. Это позволит разделить данные не только при помощи конструктора ролей и меню, не нарушая лицензионный договор.
Выделение ресурсов для локальной работы ML-моделей
Различные ИИ-ассистенты могут помогать аналитикам обрабатывать сотни тысяч событий: скоринг ЛПС, поиск похожих инцидентов, формирование рекомендаций, поиск по документации (помимо встроенного интерактивного справочника со скриншотами и примерами), анализа бюллетеней, не поддающихся парсингу и т.д. может потребоваться расширения сайзинга. Вендор предоставляет технические требования по запросу.
Определение количества коннекторов
В некоторых случаях количество коннекторов (интеграций) «из коробки» может быть недостаточно для подключения дополнительных систем. В таком случае необходимо рассчитать их количество (без привязки к вендорам, используются конкурентные лицензии) заранее, или приобрести дополнительные коннекторы в ходе эксплуатации.
Заключение
Работая в рамках единого комплексного решения, модули позволят добиться синергии и максимального охвата возможностей: мониторинг событий ИБ (SIEM), управление инцидентами (SOAR и EDR), активами (AM), взаимодействие с регуляторами (ГосСОПКА, FinCERT) и устранение последствий инцидентов с автоматизацией до 95% задач пользователей.
Аналитик SOC может одновременно работать с различными средствами защиты в рамках единого интерфейса, обращаться к аналитическим сервисам (WhoIsXMLAPI, URLScan, IPInfo.io, IPgeolocation.io, AbuseIPDB, LOLBAS, Kali tools, Shodan, ChatGPT и 50+ других систем), инструментам анализа подозрительных файлов (VirusTotal, Sandbox), решения для проактивного поиска (Threat Hunting) и более полного управления информацией о киберугрозах.
Security Vision NG SOAR может быть расширен дополнительными модулями для построения риск-ориентированной системы защиты (SGRC) и анализа «сырых» событий для поиска аномалий, поведенческого анализа и киберразведки (UEBA, TIP).