Контакты
Подписка 2026

Развитие SOC на базе продуктов R-Vision

Полина Руэда-Маэстро, 21/12/21

Все чаще к нам за помощью обращаются ведущие компании российского рынка, расширяющие границы сервисов, предоставляемых силами центров мониторинга и обеспечения информационной безопасности (Security Operations Center, SOC), давно развивающие у себя процессы ИБ и обладающие значительными компетенциями в этом направлении, а также те, кто занимается обеспечением безопасности не так давно. Последние особенно остро нуждаются в консультациях по вопросам: как строить SOC, с чего начать, на что делать основной упор, а что реализовать на более поздних этапах или обходным путем? И тут очень кстати приходится наша накопленная за 10 лет работы экспертиза.

Автор: Полина Руэда-Маэстро, ведущий продакт-менеджер R-Vision

Известно, что технологическим фундаментом любого SOC являются SIEM- и SOAR-системы.

С помощью SIEM обрабатывается весь объем данных о событиях в ИТ-инфраструктуре компании, чтобы на выходе получить подозрения на инциденты в удобном для обработки людьми виде.

SOAR выступает основой всего SOC и позволяет выстроить процесс реагирования на инциденты (workflow). Когда мы только выводили на рынок IRP-систему, были первопроходцами в этом направлении, то часто получали вопросы о ее необходимости, если у заказчиков уже были SIEM и Service Desk. Ответ был прост.

  1.  SIEM- и IRP-системы имеют разное предназначение и разработаны совершенно по-разному. SIEM "заточена" на обработку больших объемов сырой информации и их корреляцию согласно правилам, а IRP – для удобного и гибкого выстраивания процессов для аналитиков и специалистов по ИБ.
  2. Мы развиваем IRP с акцентом на задачи ИБ и расследование инцидентов. И наделили ее всеми необходимыми узкоспециализированными инструментами: сбора инвентаризационной информации с учетом задач ИБ, автоматизации реагирования на инциденты, включая динамические сценарии реагирования (плейбуки), а также средствами оркестрации.

Реализованные в IRP механизмы оркестрации позволяют работать с инцидентами безопасности в одном окне без необходимости переключения в интерфейсы других систем и сервисов, в том числе внешних для заказчика. Использование инструментов оркестрации позволяет рассматривать IRP как систему класса SOAR. Для многих заказчиков необходима возможность своевременного обмена информацией об инцидентах с регуляторами и внешними организациями, например CERT или коммерческими SOC.

По мере развития темы SOC мы заметили интересную тенденцию: заказчики не всегда выбирали один способ реализации – развивать только внутреннюю команду или приобретать услуги внешнего центра мониторинга. Все чаще поднимался вопрос гибридных SOC, когда какие-то критичные вещи остаются внутри компании, а менее важные или узкоспециализированные услуги приобретаются у коммерческого SOC. Например, обработка закрытой информации может остаться на стороне заказчика, а расследование инцидентов корпоративного сегмента сети, не касающихся таких данных, передано внешнему провайдеру. Еще один пример – отказ от развития своей команды по Threat Hunting (проактивному поиску угроз. – Прим. ред.) и использование внешней глубокой экспертизы. Это отличный пример реализации внешних взаимодействий для заказчиков SOC и использования инструментов оркестрации, в том числе для совместной работы с провайдером услуг над инцидентами.

Чем больше мы помогали нашим клиентам строить SOC, тем очевиднее становилось, что вместе с развитием заказчиков растут и их требования к зрелости и функциональности технологических решений, используемых в SOC. Повышались и требования к отказоустойчивости используемых платформ. Началось все с простейших архитектур, например с использования холодного резервирования систем. Сегодня заказчики строят SOC с режимом работы 24/7 и жесткими SLA, отдавая себе отчет в том, что недоступность систем и несвоевременное реагирование на инциденты может привести к значительному ущербу для организации. Все чаще мы участвуем в проектах построения больших катастрофоустойчивых центров на разных площадках в разных городах и часовых поясах. Потребовались принципиально новые решения, которые позволяли бы нашим заказчикам совершать следующие шаги в экономии трудозатрат специалистов, автоматизации процессов и, конечно же, получении преимущества в бесконечной гонке со злоумышленниками.

Так был задуман и выпущен в свет первый из наших продуктов для раннего обнаружения угроз – R-Vision TIP, который до сих пор не имеет полноценных аналогов на российском рынке. Продукт предназначен для работы с данными TI, собранными от поставщиков и сгенерированными самостоятельно. В зависимости от количества каналов (фидов), на которые подписывается заказчик, число поступающих индикаторов компрометации может составлять миллионы. Понятно, что ни одна команда с обработкой такого объема данных не справится. И тут приходят на помощь инструменты автоматизации R-Vision TIP, позволяющие снизить трудозатраты в разы. Продукт эффективен даже при первоначальном отсутствии у заказчика аналитиков SOC, специализирующихся на TI, так как выступает источником обогащения по индикаторам компрометации карточек инцидентов в IRP.

TIP можно использовать не только как репозиторий и витрину всех данных TI, но и для дополнительного выявления инцидентов за счет автоматического поиска в инфраструктуре интересующих заказчика индикаторов компрометации. Это применимо за счет отделяемых сенсоров TIP как в централизованном внутреннем SOC, когда заказчик строит его только для себя, так и в распределенных или внешних SOC, которые могут обслуживать свою группу компаний, когда сенсоры могут разворачиваться у внешних коммерческих заказчиков.

Решения IRP и TIP в паре дают возможность перевести SOC на следующий этап развития. Но чем больше становится SOC и поток обрабатываемых им событий, тем чаще компании сталкиваются с тем, что очень сложно достаточно качественно настроить правила корреляции для выявления инцидентов. В итоге большая часть команды занимается бесконечным тюнингом правил в SIEM и разбором False Positive (ложных срабатываний. – Прим. ред.). Такая рутинная работа может сильно демотивировать команду, которую и так нелегко набрать в сфере ИБ. И для бизнеса это дополнительная трата ресурсов.

В качестве решения этой проблемы мы предложили рынку продукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машинного обучения – "программных экспертов". Они выявляют отклонения в поведении всех объектов инфраструктуры, информация о которых содержится в журналах событий, и автоматически дообучаются. Пограничное использование технологий дает синергетический эффект. С одной стороны, система работает при минимальном человеческом вмешательстве за счет автоматического выявления аномалий в поведении инфраструктуры. С другой стороны, у пользователя всегда есть возможность добавить собственное правило. Таким образом, система позволяет выявить инциденты на самой ранней стадии независимо от интенсивности атаки, реализованной за считанные минуты или растянутой во времени, когда злоумышленник может вернуться к скомпрометированному узлу или УЗ намного позже. Благодаря работе с различными источниками событий SENSE легко применим как в SOC, где внедрена SIEM-система, так и в компаниях, где процесс Log Management построен без использования SIEM.

Со временем, когда SOC заказчика "обрастает" десятком различных решений, возникает вопрос: а как теперь этим, уже ставшим практически самостоятельным живым организмом, SOC управлять? Естественно, у каждой системы есть своя консоль управления и практически у каждой есть различные средства контроля показателей эффективности, как графические, так и в виде отчетов. Но как понять, действительно ли весь SOC работает в соответствии с требованиями компании и защищен ли он сам всеми необходимыми средствами?

Отличным решением для такого верхнеуровневого контроля являются системы класса SGRC: они позволяют видеть, какие требования к функционированию SOC выполняются, в какой степени и по каким из них есть замечания. Помимо использующихся для этого аудитов, SGRC обладает функциональностью оценки рисков, позволяющих смотреть в будущее, оценивать, каким образом необходимо развивать систему защиты и как это сделать максимально эффективно. Различные метрики позволят отобразить общее состояние и качество работы SOC в цифрах.

Мы и наши партнеры шаг за шагом строим и развиваем SOC заказчиков с помощью технологий R-Vision. Несмотря на различные отрасли и масштабы проектов, зачастую мы сталкиваемся со схожими задачами. Одна из самых распространенных – построение SOC для группы компаний. Позволяют ли используемые решения применять одну инсталляцию для работы с данными нескольких юридических лиц? В этом нашим заказчикам помогает режим multitenancy (мультиарендности), дающий возможность еще "на входе" в систему автоматически разделить данные по организациям. В этом случае, если SOC предоставляет подключенным организациям доступ к системе, каждая из них видит только свои данные, а SOC – данные всех подключенных организаций с указанием, к какой организации относится каждая сущность, заведенная в системе.

Еще одна необходимая для SOC возможность – гибкая настройка используемых решений "под себя", но так, чтобы это не требовало больших трудозатрат. Конечно, это зависит от принципов разработки продуктов. Когда системы изначально разрабатываются как конструктор, позволяющий гибко настроить необходимые поля, карточки и целые разделы под конкретного пользователя, не прибегая к помощи разработчика и без написания какого-либо кода, это сильно облегчает администрирование всей системы. Сюда же относится журналирование изменений всех сущностей в системе, возможность настройки плейбуков из графической формы и масштабирование их на такое количество подключенных организаций, которому это необходимо.

Раз уж мы заговорили о средствах контроля метрик, большое преимущество этих систем в том, что IRP и SGRC работают на одной программной платформе, это позволяет выводить статистику и графики в одном интерфейсе.

Все продукты R-Vision складываются в цельную прозрачную экосистему, где каждый продукт занимает свое место для решения определенных задач. Наши продукты можно использовать как для автоматизации работы SOC, так и для контроля защищенности всей организации и самого SOC как еще одного элемента инфраструктуры организации. Например, SENSE и TIP помогут выявить инциденты ИБ, произошедшие и внутри SOC, IRP – выстроить работу по ним и своевременно отреагировать. SGRC тоже имеет два вектора использования, как для предоставления всей организации услуги проведения аудитов силами SOC, так и в качестве инструмента верхнеуровневого контроля информационной безопасности для самого SOC.

Уверены, что и дальше технологии SOC и информационной безопасности будут развиваться, как и продукты R-Vision.

Темы:SOCIRPЖурнал "Информационная безопасность" №5, 2021
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.
  • Интеграция NGFW в SOC: особенности и нюансы
    Дмитрий Лебедев, ведущий специалист отдела продвижения продуктов “Кода Безопасности”, эксперт по сетевой безопасности
    Компании все меньше закупают модные, но одиночные ИБ-решения, и тщательнее продумывают сочетания продуктов, которые придают системе безопасности прочность, – комплексная система кибербезопасности становится все популярнее. Один из элементов комплексной организации защиты – интеграция NGFW в SOC.
  • Три ловушки, которые вам готовит ваш SOC
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Завершаем серию публикаций о ключевых аспектах деятельности SOC. Описанные в предыдущих материалах направления формируют замкнутый цикл, превращая SOC из операционного центра в ключевой элемент киберустойчивости организации и ее стратегический актив. В финальной статье расскажем, какие типичные ловушки подстерегают компании, развивающие собственный SOC, почему они возникают и что сделать, чтобы в них не попасть.э
  • Эффективность SOC: от технических метрик к языку бизнеса
    Андрей Шаляпин, руководитель BI.ZONE TDR
    Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена измерению эффективности – базовой потребности зрелого центра мониторинга. Рассмотрим, как построить целостную систему оценки для принятия обоснованных управленческих решений.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...