Интеграция с внешними источниками
Для интеграции R-Vision SOAR с внешними системами доступны:
- Набор готовых коннекторов к широкому диапазону сканеров уязвимостей, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM), ITSM и других средств обеспечения информационной безопасности.
- Встроенный почтовый сервер для обмена информацией.
- Встроенный конструктор коннекторов, который обеспечивает взаимодействие с любыми сторонними решениями, используя REST API, SOAP, SSH и другие механизмы.
Можно настроить автоматический запуск любого коннектора в нужный момент времени или при срабатывании заданных условий.
Единое рабочее пространство
Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность действий. Платформа R-Vision SOAR предоставляет единое рабочее пространство и координацию действий сотрудников службы ИБ и других задействованных лиц в рамках решения следующих задач по управлению инцидентами, активами, устранению уязвимостей и расследований:
- Формирование рабочих групп;
- Распределение задач;
- Отправка уведомлений;
- Контроль выполнения задач;
- Установка и контроль SLA;
- Экскалация;
- Единое хранилище сведений по задачам, документам, фактам и свидетельствам;
- Обмен информацией.
Каждая задача обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за ее выполнение.
Расследование инцидентов
Обеспечивается консолидация сведений, полученных в результате исполнения скриптов или собранных вручную аналитиками и приложенных к задаче в виде файлов. При расследовании инцидентов используются все имеющиеся данные по активам и уязвимостям.
Предустановленные справочники помогают оценить и выявить:
- Последствия инцидента;
- Возможный ущерб от реализации инцидента;
- Предпосылки;
- Причины возникновения;
- Степень преднамеренности;
- Статус реализации;
- Вероятность повторного возникновения инцидента.
Механизмы визуализации графов связей инцидента и активов компании позволяют проанализировать возможные цели атакующих.
По результатам расследования инцидента и установления предпосылок к его возникновению корректируются меры защиты, редактируются сценарии реагирования и формируются соответствующие задачи.
Используя единое рабочее пространство платформы R-Vision SOAR, аналитики, отвечающие за расследование инцидента, могут привлекать коллег из смежных подразделений.