Автоматизация взаимодействия с регулятором: как мы интегрировали SOAR и АСОИ ФинЦЕРТ
Привет, Хабр! Меня зовут Елена Петренко, я бизнес-аналитик по информационной безопасности в компании R-Vision. Сегодня хочу поделиться историей о том, как мы разработали интеграцию между SOAR-системой и АСОИ ФинЦЕРТ для автоматизации взаимодействия с регулятором. Вы узнаете, какие задачи она решает...
Автоматизация безопасности: Когда использовать SOAR?
Специалисты по информационной безопасности ежедневно сталкиваются с огромным потоком инцидентов. Логи заполняются, а алерты выстреливают один за другим. Задача — не просто отреагировать на все это в ручном режиме, но и сделать это максимально быстро. Вот тут и появляется SOAR — инструмент, который...
Turbo ML Conf 2024 — по следам
В формате разбора содержания докладов я, автор канала @borismlsec, приведу три интереснейших из тех, что мне довелось посетить на конференции Turbo ML 2024. Они привлекли меня не только как дата саентиста, но и как сотрудника вендора решений по кибербезопасности. И по каждому докладу в конце я...
Метрики качества динамических плейбуков
При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента,...
Динамические плейбуки
Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который...
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Андрей Амирах, руководитель отдела технического пресейла Security Vision Тимур Галиулин, менеджер по развитию продуктов Infowatch В этой статье мы расскажем о процессе автоматизации рутинной деятельности в одном из подразделений ИБ крупной компании. Исходные данные: подразделение информационной...
Искусство следопыта в корпоративной инфраструктуре
В этой статье хотелось бы обсудить индикаторы атаки — ту часть Threat Intelligence, которая отвечает за эффективное реагирование на угрозы и расследование инцидентов. В этом контексте вспомним одну из апорий Зенона Элейского - про Ахиллеса и черепаху. Современный бизнес часто оказывается в позиции...
Модель зрелости SOAR
Михаил Пименов, аналитик Security Vision В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами...
The Hive. Разбор open source решения
В свете быстрого развития информационных систем и увеличения угроз кибербезопасности поиск надежных решений, позволяющих минимизировать вред от нарушения информационной безопасности (ИБ), становится важной задачей для различных организаций. Когда инфраструктура организации начинает настолько...
Как научиться выстраивать килчейн
Алексей Баландин, архитектор продукта Security Vision Михаил Пименов, аналитик Security Vision Впервые слово килчейн (точнее, несколько слов: The Cyber Kill Chain) как термин появилось в далеком 2011 году, когда американская компания Lockheed-Martin впервые предложила выстроить зафиксированные в...
False или не false?
При расследовании инцидентов есть несколько ключевых моментов этого процесса для аналитиков, на которые в данной статье мы обратим внимание – это корректность самого расследования, верная категоризация произошедшего, а также приоритет. Грамотно расставленные приоритеты, а именно, правильно...
Автоматизация безопасности с разнообразием матриц MITRE
Алексей Пешик, инженер-эксперт Security Vision Михаил Пименов, аналитик Security Vision С каждым годом методы получения неправомерного доступа к данным компаний и частных лиц становятся всё более изощренными. Эффективные меры защиты от проникновения в инфраструктуру породили более сложные,...
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Друзья, мы в Security Vision создали новую версию системы IRP/SOAR на платформе Security Vision 5 - Security Vision IRP/SOAR 2.0, в которой реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Предлагаю вашему вниманию статью о...
XDR vs SIEM, SOAR. Перемешать, но не взбалтывать
Привет, Хабр! Меня зовут Сергей Куценко, я являюсь экспертом направления информационной безопасности в К2Тех. Рынок решений информационной безопасности динамично развивается. В последнее время все больше на слуху концепции EDR (Endpoint Detection and Response) и XDR (Extended Detection and...
SOAR в Kubernetes малой кровью
Как идеально не строй цикл разработки и поиска уязвимостей, все равно будут существовать кейсы, которые приводят к security-инцидентам. Поэтому давайте соединим два ингредиента: control loop (reconciliation loop) и полную декларативную возможность Kubernetes и посмотрим, как автоматизировано...
[Перевод] Перевод: Понимание разницы между SOAR, SIEM и XDR
В поисках правильного решения для поддержки, развития и расширения возможностей вашего SOC, вот что необходимо знать при оценке XDR и SOAR. Читать далее...
Тестируем SOAR-решение Cortex XSOAR от Palo Alto Networks
Я строю SOC’и уже давно и вижу, как с каждым годом всё чаще в них можно встретить SOAR-решения (Security Orchestration Automation and Response). Это понятно: специалистов не хватает и нужно максимально автоматизировать процессы по управлению и реагированию на инциденты ИБ. Интересно, что...
Нормативное обоснование необходимости внедрения систем IRP/SOAR и SGRC
Актуальные тренды информационной безопасности четко дают понять, что без автоматизации процессов управления ИБ и реагирования на киберинциденты противостоять атакующим будет очень непросто. Количество бизнес-процессов, ИТ-активов и уязвимостей, сложность тактик и инструментов хакеров, скорость...
Назад