Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг

Security Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.

Ключевые особенности Security Vision SOAR

Объектно-ориентированный подход к реагированию: каждый элемент инцидента (хост, учётная запись, процесс, артефакт) рассматривается как объект со своими атрибутами, историей, связями и доступными действиями.

Динамические плейбуки: сценарии расследования и реагирования адаптируются по мере изменения контекста инцидента — при появлении новых объектов, техник MITRE ATT&CK, результатов анализа и обогащения.

Построение Kill Chain: механизм автоматически объединяет инциденты в единую последовательность этапов (в том числе с помощью дополнительных запросов недостающих сведений), показывает путь злоумышленника и эволюцию атаки.

Экспертные рекомендации: система подсказывает какие должны быть следующие шаги обработки инцидента. Учитывается контекст инцидента и накопленный опыт внутри SOC. На основе экспертной базы и ML-моделей оценивается вероятность FP, система находит схожие инциденты и рекомендуют действия, выполнявшиеся в подобных кейсах.

 Функционал оркестрации, аналитики и управления процессами

Security Vision SOAR обеспечивает оркестрацию средств защиты, аналитических сервисов и объектов инфраструктуры:

Интеграции с СЗИ: основными источниками инцидентов выступают SIEM, EDR, AV, NGFW, WAF, антиспам и другие классы решений. Большинство интеграций двусторонние — от получения данных до активного реагирования из единой консоли управления.

Взаимодействие с активами: модуль управления активами поддерживает идентификацию, инвентаризацию и получение данных как через внешние системы, так и при прямом обращении к объектам инфраструктуры.

Обогащение артефактов: в продукт заложен богатый набор интеграций как с общедоступными, так и работающими по подписке аналитическими сервисами.

Аналитические инструменты: встроенные сервисы аналитики оценивают зоны потенциального воздействия и возможные направления развития инцидента, а также выполняют автоматическую связку инцидентов с TI-бюллетенями.

Расчет достижимости активов: система автоматически выстраивает маршруты до наиболее критических и стратегических активов Компании, позволяя прогнозировать развитие атаки и будущих действий злоумышленника.

Встроенная система задач с жизненным циклом и интеграция с популярными системами заявок/ITSM (Jira, Naumen, OTRS и др.) позволяют координировать работу SOC и взаимодействовать со смежными подразделениями в едином контуре.

Новый функционал, добавленный в релизе

Локальный ИИ-ассистент: помощь с учётом контекста инцидента — полностью в контуре заказчика

В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения.

Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре Заказчика.

ИИ-ассистент поможет в таких вопросах, как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего.

Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности.

ML-скоринг критичности инцидентов

В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC.

Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов.

 ML-summary - автоматический отчет по инциденту: единый стандарт итогов расследования

При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая:

что произошло;

что было сделано при расследовании;

какие действия были предприняты;

какой получен результат;

удалось ли что-то атакующему.

Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности.

Эффект для SOC и ИБ-подразделений

Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя:

быстрее интерпретировать события и артефакты;

получать более точные рекомендации по реагированию;

снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов;

сократить время на триаж инцидентов благодаря ML-оценке критичности;

снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.

Справка о платформе Security Vision

Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision – первая в ИБ ИТ-платформа Low code / No code, позволяющая роботизировать до 95% программно-технических ИТ / ИБ функций в круглосуточном режиме, тем самым обеспечивая непрерывное реагирование на угрозы, киберинциденты, поиск ИТ-активов и управление конфигурациями, поиск и управление уязвимостями, анализ данных и управление процессами. Является 100% российской разработкой, включена в Реестр российского ПО (№364 от 08.04.2016).