Назначение
SOAR — решение, которое обеспечивает координацию и автоматизацию процессов реагирования на киберинциденты, выступая единым инструментом для работы аналитиков всех линий SOC. С помощью платформы компании могут управлять жизненным циклом инцидентов кибербезопасности, координировать усилия по реагированию, централизованно получать информацию, связанную с инцидентами. Решение позволяет уменьшить время реагирования
Оптимизация управления инцидентами
Платформа консолидирует алерты и уведомления от различных систем, оптимизирует поток инцидентов с помощью троттлинга и агрегации. Это позволяет сосредоточиться на критических инцидентах, сокращая время реагирования и повышая общую эффективность управления инцидентами
Автоматизированный рабочий процесс и оркестрация задач
Автоматизация повторяющихся задач, связанных с реагированием на инциденты. Благодаря возможностям управления рабочими процессами платформа может автоматически назначать задачи, запускать заранее определенные ответные действия и оптимизировать процесс разрешения инцидента. Это экономит время, а также обеспечивает согласованный процесс реагирования
Координация действий SOC
С помощью решения команда центра мониторинга киберугроз быстрее принимает решения, скоординированно реагирует и информирует заинтересованные стороны на протяжении всего жизненного цикла инцидента
Наглядная отчетность с возможностью автоматизации
Интерактивная панель (с различными визуализациями для метрик эффективности автоматизируемых SOAR рабочих процессов) помогает специалистам по безопасности глубже понять картину угроз, выявить закономерности и определить приоритетность превентивных мер
Возможности
Управление алeртами от систем обнаружения угроз
SOAR принимает на вход поток срабатываний от различных систем обнаружения (например, SIEM, EDR), оптимизирует его (троттлинг, агрегация) и предоставляет аналитику удобный интерфейс для работы с алертами
Управление кейсами, задачами
Конструктор карточек объектов (инциденты, задачи), инструменты совместной работы, централизованная база задач/инцидентов
Управление рабочими процессами
Проектирование произвольных рабочих процессов (управление уязвимостями, инцидентами, задачами), контроль метрик качества процессов
Управление знаниями
Ведение централизованной базы знаний непосредственно внутри SOAR. Предоставление пользователям информации из базы знаний в различных местах SOAR
Управление активами
Наполнение базы активов вручную и из внешних систем, с которыми есть интеграция. Предоставление доступа к информации об активах из различных мест SOAR. Связывание активов с релевантными им инцидентами, задачами
Визуализация и отчетность
Интерактивная панель с визуализациями для метрик эффективности рабочих процессов, автоматизируемых SOAR. Автоматизация подготовки отчетности
Управление сценариями реагирования, обогащения
База сценариев реагирования, которые можно запускать по запросу и автоматически по заданным триггерам. Визуальный конструктор сложных сценариев. Автоматизация заполнения карточек инцидентов на базе сценариев, автоматизация обогащения карточек инцидентов/алертов из внешних систем
Передача информации об инцидентах/атаках в НКЦКИ
Автоматическая (либо по запросу) передача в НКЦКИ сведений об инцидентах, компьютерных атаках и уязвимостях. Получение и регистрация обратной связи от НКЦКИ по передаваемым данным
Схема работы
Платформа включает в себя два модуля:
SOAR
Единое окно контроля за полным циклом управления инцидентами — от выявления до реагирования и ликвидации последствий, автоматизация рутинных операций в процессе обнаружения и расследования инцидента
SOC Portal
Решение для доступа внешних участников взаимодействия. Позволяет получать и регистрировать инциденты кибербезопасности, запросы на предоставление или получение дополнительных данных
Вам также может подойти
EDR
Решение для защиты конечных точек от сложных угроз
Threat Intelligence
Портал киберразведки с фокусом на российском ландшафте угроз
Secure DNS
Защита от угроз в DNS-трафике
