 |
|
|
|
Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг
Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скорингSecurity Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент. Ключевые особенности Security Vision SOAR Объектно-ориентированный подход к реагированию: каждый элемент инцидента (хост, учётная запись, процесс, артефакт) рассматривается как объект со своими атрибутами, историей, связями и доступными действиями. Динамические плейбуки: сценарии расследования и реагирования адаптируются по мере изменения контекста инцидента — при появлении новых объектов, техник MITRE ATT&CK, результатов анализа и обогащения. Построение Kill Chain: механизм автоматически объединяет инциденты в единую последовательность этапов (в том числе с помощью дополнительных запросов недостающих сведений), показывает путь злоумышленника и эволюцию атаки. Экспертные рекомендации: система подсказывает какие должны быть следующие шаги обработки инцидента. Учитывается контекст инцидента и накопленный опыт внутри SOC. На основе экспертной базы и ML-моделей оценивается вероятность FP, система находит схожие инциденты и рекомендуют действия, выполнявшиеся в подобных кейсах. Функционал оркестрации, аналитики и управления процессами Security Vision SOAR обеспечивает оркестрацию средств защиты, аналитических сервисов и объектов инфраструктуры: Интеграции с СЗИ: основными источниками инцидентов выступают SIEM, EDR, AV, NGFW, WAF, антиспам и другие классы решений. Большинство интеграций двусторонние — от получения данных до активного реагирования из единой консоли управления. Взаимодействие с активами: модуль управления активами поддерживает идентификацию, инвентаризацию и получение данных как через внешние системы, так и при прямом обращении к объектам инфраструктуры. Обогащение артефактов: в продукт заложен богатый набор интеграций как с общедоступными, так и работающими по подписке аналитическими сервисами. Аналитические инструменты: встроенные сервисы аналитики оценивают зоны потенциального воздействия и возможные направления развития инцидента, а также выполняют автоматическую связку инцидентов с TI-бюллетенями. Расчет достижимости активов: система автоматически выстраивает маршруты до наиболее критических и стратегических активов Компании, позволяя прогнозировать развитие атаки и будущих действий злоумышленника. Встроенная система задач с жизненным циклом и интеграция с популярными системами заявок/ITSM (Jira, Naumen, OTRS и др.) позволяют координировать работу SOC и взаимодействовать со смежными подразделениями в едином контуре. Новый функционал, добавленный в релизе Локальный ИИ-ассистент: помощь с учётом контекста инцидента — полностью в контуре заказчика В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения. Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре Заказчика. ИИ-ассистент поможет в таких вопросах, как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего. Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе. Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности. ML-скоринг критичности инцидентов В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC. Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов. ML-summary - автоматический отчет по инциденту: единый стандарт итогов расследования При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая: что произошло; что было сделано при расследовании; какие действия были предприняты; какой получен результат; удалось ли что-то атакующему. Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности. Эффект для SOC и ИБ-подразделений Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя: быстрее интерпретировать события и артефакты; получать более точные рекомендации по реагированию; снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов; сократить время на триаж инцидентов благодаря ML-оценке критичности; снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.
Справка о платформе Security Vision Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision – первая в ИБ ИТ-платформа Low code / No code, позволяющая роботизировать до 95% программно-технических ИТ / ИБ функций в круглосуточном режиме, тем самым обеспечивая непрерывное реагирование на угрозы, киберинциденты, поиск ИТ-активов и управление конфигурациями, поиск и управление уязвимостями, анализ данных и управление процессами. Является 100% российской разработкой, включена в Реестр российского ПО (№364 от 08.04.2016). |
|
