UDV SOAR

Интегрированная платформа оркестрации средств защиты информации, реагирования на инциденты и автоматизации других функций ИБ. Существенно снижает время реагирования на инциденты компьютерной безопасности

описание

решаемые задачи

01

Обогащение данными информации о возможных инцидентах и сопоставление её с индикаторами компрометации
02

Реагирование на инциденты компьютерной безопасности как с помощью автоматических скриптов, так и автоматизация процесса реагирования; интеграция со смежными системами
03

Оценка последствий инцидентов, рекомендации по реагированию

возможности

возможности продукта

Оркестрация

Объединение и централизованное управление средствами защиты информации и элементами ИТ-инфраструктуры

запросить демо

Взаимодействие с внутренними информационными системами предприятия и внешними источниками информации в рамках сбора дополнительных сведений об инциденте
Реализация реагирующего воздействия на любых компонентах ИТ-инфраструктуры (рабочие станции, серверное и сетевое оборудование и т.д.) при возникновении инцидента
Централизованное управление средствами защиты информации

Автоматизация

Автоматическое выполнение рутинных задач с помощью скриптов и плейбуков для уменьшения времени реагирования на инциденты, сокращения количества ошибок из-за человеческого фактора и нагрузки на специалистов ИБ

запросить демо

Автоматическое выполнение плейбуков, формируемых из коллекции заранее разработанных производителем скриптов
Автоматическое выполнение рутинных задач, которые ранее производились вручную
Среда разработки и тестирования собственных скриптов и плейбуков

Реагирование

Быстрая реакция на инциденты ИБ (анализ, локализация, устранение) и восстановление исходного состояния систем

запросить демо

Компетенции вендора по реагированию на различные типы инцидентов
Управление процессами реагирования на инциденты и жизненным циклом инцидентов
Ведение статистики, построение аналитических панелей мониторинга, формирование отчетности, направление уведомлений

Снижение времени реагирования на инцидент с 3 дней до 25 минут
Повышение качества реагирования на инциденты за счет готовых сценариев
Уменьшение количества ошибок из-за человеческого фактора
Снижение нагрузки на аналитиков ИБ

вопросы и ответы

часто
задаваемые
вопросы

Не нашли ответа на свой вопрос?

Напишите нам

SOAR (Security Orchestration, Automation and Response) — система оркестрации средств защиты информации, автоматизации реагирования на инциденты и других функций ИБ.

Предназначена для сбора данных о событиях информационной безопасности из различных источников, их обогащения и автоматизированного реагирования на основные типы инцидентов компьютерной безопасности.

Постоянный рост количества атак (и их усложнение) приводит к тому, что специалистам по ИБ приходится работать с огромным потоком инцидентов. За счет использования SOAR платформ можно автоматизировать рутинные задачи и улучшить координацию между командами, что в свою очередь снизит нагрузку на специалистов и поможет им сфокусироваться на стратегических вопросах ИБ.
Основная задача, которую решает SOAR — это снижение времени реагирования на инциденты. Если SLA по закрытию инцидентов не выполняется, специалисты перегружены рутинной работой и не занимаются выявлением аномалий и предотвращением атак — пора задуматься об автоматизации процессов с помощью SOAR.

Однако для внедрения SOAR необходимы хорошо выстроенные рабочие процессы в ИБ. Кроме того, SOAR нельзя развернуть и забыть: для обеспечения эффективности платформы требуется постоянное управление и разработка/поддержка правил интеграции. Если количество алертов не зашкаливает, то внедрение SOAR может только усложнить работу.
IRP (Incident Response Platform) — это платформа для автоматизации реагирования на инциденты информационной безопасности. С помощью IRP можно создать различные сценарии реагирования на основании настраиваемых правил и типов инцидентов, которые будут запускаться автоматически в зависимости от поступающих со средств защиты информации данных.

SOAR (Security Orchestration, Automation, and Response) также позволяет автоматизировать реагирование на киберинциденты, но кроме того включает функциональность оркестрации различных СЗИ и ИТ-систем, интеграцию с большим количеством систем и более глубокий анализ данных. Можно сказать, что SOAR — это следующий шаг в эволюции IRP-систем.
Основная функция SIEM — это сбор и анализ событий ИБ из различных источников для выявления потенциальных инцидентов. Можно сказать, что SIEM — это охранная сигнализация, которая срабатывает при обнаружении подозрительной активности. А главная задача SOAR — автоматизация операций по обеспечению безопасности. SOAR получает данные об уже выявленных инцидентах и автоматизирует реагирование.

Самая главная часть SIEM-систем — правила корреляции событий, на основании которых программа выявляет инциденты. SOAR интегрируется с меньшим количеством СЗИ-источников данных, может масштабироваться до большего количества предупреждений, но не может обрабатывать тот же объем данных, что SIEM.

Ключевая функциональность SOAR — это возможность создавать сценарии автоматического реагирования на типовые инциденты ИБ. Другими словами, SOAR начинается там, где заканчиваются возможности SIEM-платформы. На практике они дополняют друг друга и лучше всего работают вместе.
SOAR может собирать данные от различных средств защиты информации:
- SIEM-системы;
- антивирусы и EDR-решения;
- системы управления уязвимостями;
- DLP-продукты;
- платформы анализа угроз (TIP);
- системы поведенческого анализа (UEBA);
- межсетевые экраны, DNS и другие сетевые устройства;
- службы каталогов ОС.

экосистема

узнайте больше о продуктах UDV Group

Экосистема решений UDV Group в области кибербезопасности

В экосистему UDV Group входят решения для защиты АСУ ТП и объектов КИИ, решения для мониторинга ИБ и реагирования на инциденты, инструменты для автоматизации бизнес-процессов. На вебинаре в сжатом виде рассказали про всю линейку продуктов экосистемы.

экосистема

05.08.2024 / 11:00 МСК