Контакты
Подписка 2024
music-opera-musician-stage-recording-orchestra-1080584-pxhere_web

IRP/SOAR: автоматизация управления инцидентами

 

Специальный проект журнала "Информационная безопасность" в ноябре 2022 г.

Содержание

  1. Зачем нужны IRP и SOAR?
  2. Обзор решений класса IRP/SOAR
  3. Производители и интеграторы IRP-/SOAR-решений

Зачем нужны IRP и SOAR?

IRP (Incident Response Platform) -- это класс программных продуктов, предназначенный для автоматизации реагирования на киберинциденты.

IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook -- сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно прописать разные сценарии.

SOAR (Security Orchestration, Automation and Response) -- класс программных продуктов, предназначенный для оркестровки систем безопасности, то есть их координации и управления ими. Решения класса SOAR в первую очередь позволяют автоматизировать типовые сценарии реагирования на события информационной безопасности.

Сегодня эти термины стали почти синонимами и зачастую применяются в отношении одних и тех же решений. Современные платформы покрывают функционал обоих классов продуктов и неотделимы друг от друга. К основному функционалу данных систем можно отнести:

  • автоматизацию процесса управления инцидентами ИБ;
  • снижение нагрузки на персонал компании, обеспечивающий информационную безопасность;
  • создание и ведение единой базы инцидентов ИБ в компании;
  • интеграцию с уже существующими в компании средствами защиты;
  • автоматизацию реагирования на инциденты;
     обеспечение взаимодействия разных структурных подразделений компании при расследовании и реагировании на инциденты.

Обзор решений класса IRP/SOAR

Данные актуальны на ноябрь 2022 г.

Название решения

NextSTage IRP

Makves IRP

UserGate LogAnalyzer

R-Vision SOAR

Security Vision IRP/SOAR

Компания-разработчик

ООО "ОМС Солюшн"

ООО "Маквес групп"

UserGate

ООО "Р-Вижн"

ООО "Интеллектуальная безопасность"

Компания, предоставившая информацию

ООО "ОМС Солюшн"

ООО "Маквес групп"

UserGate

ООО "Р-Вижн"

ООО "Интеллектуальная безопасность"

Поддержка интерфейса на русском языке

Да

Да

Да

Да

Да

Поддержка интерфейса на других языках

Нет

Нет

Да, английский

Да, английский

Да, английский, возможность добавлять любые языки

Сертификаты, патенты и лицензии

Реестр российского ПО

Реестр российского ПО, лицензии ФСТЭК России (СЗКИ, ТЗКИ)

Реестр российского ПО

Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия

Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия, сертификат оперативно-аналитического центра при президенте Республики
Беларусь

Позиционирование

IPR-система с расширенными возможностями no-code кастомизации и гибкими архитектурными возможностями

Простой и удобный инструмент для регистрации инцидентов, управления их жизненным циклом, создания сценариев реагирования

UserGate LogAnalyzer – NG SIEM с функционалом IRP и SOAR

Ключевой инструмент для эффективности SOC: агрегирует инциденты, автоматизирует обогащение, реагирование
и защитные меры

Российский программный комплекс класса IRP/SOAR/SGRC/TIP/CMDB, предназначен для автоматизации процессов ИБ и ИТ

Архитектура решения

Поддерживаемые ОС

Debian, Astra Linux

Linux, Windows

Устанавливается на среду виртуализа- ции, ОС не важна

CentOS, RedHat Enterprise Linux, Debian Astra Linux "Орёл" или "Смоленск", RED OS, ALT Server, ALT 8 SP Server

CentOS, RedHat Enterprise Linux, Oracle Linux, Ubuntu, Astra Linux "Орёл" или "Смоленск", ALT Linux, РЕД ОС, Debian, Microsoft Windows Server

Поддерживаемые СУБД

СУБД PostgreSQL

PostgreSQL 9.6 х64 и более поздние версии

Решение коробочное, дополнительных инсталляций не требуется

PostgreSQL 11.14, Jatoba J1

 PostgreSQL 10 и выше, PostgreSQL PRO 10 и выше, СУБД ЛИНТЕР, СУБД Jatoba, MS SQL Server Standard 2016 и выше

Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД)

Да

Нет

Нет

Нет

Нет

Минимальное количество серверов для установки

1

1

1

1

1

Встроенная ролевая модель разграничения доступа

Изменяемая

Изменяемая

Изменяемая

Преднастроенная, изменяемая

Изменяемая кастомизируемая, штатная преднастроенная

Возможности по резервированию

Active-Passive и Active-Active

Нет

Active-Passive и Active-Active

Active-Passive

Active-Passive и Active-Active

Журналирование изменений объектов в системе

От системы

От пользователей и от системы

От пользователей

От пользователей и от системы

От пользователей и от системы, самодиагностика

Поддержка работы в режиме мультиарендности

Да

Нет

Да

Да

Да, полный функционал, используемый MSSP провайдерами

Поддержка концепции low-code/no-code

Да

Да

Нет

Да

Да, входит в рейтинг Low-code платформ 2022 (CNews)

Возможность настройки структуры основного меню

Да

Да

Да

Да

Да, меню и брендинг полностью кастомизируются под заказчика (цвета, логотипы, меню, структура, функции и др.)

Дополнительные модули системы

Оркестрация, визуализация

Не требуются

Не требуются

TIP, SENSE, TDP, SGRC, Endpoint

IRP/SOAR, SGRC, TIP, CMDB, управление активами и инвентаризацией, управление уязвимостями, ГосСОПКА, взаимодействие с ФинЦЕРТ, TIP, управление рисками кибербезопасности, управление соответствием требованиям 187-ФЗ (КИИ), управление соответствием требованиям информационной безопасности, управление операционными рисками, аналитика Big Data ML

SLA техподдержки

8x5, 24х7

8x5, 24х7

По согласованию

8x5

8x5, 24х7

Формат техподдержки

Телефон, e-mail, онлайн, мессенджеры

Телефон, e-mail

По согласованию

Телефон, e-mail

Телефон, e-mail, онлайн-портал, мессенджеры

Управление инцидентами

Ведение единой базы инцидентов

Да

Да

Да

Да

Да

Автоматическая инвентаризация активов

Да

Да

Нет

Да

Да

Конструктор карточки инцидентов

Да

Да

Нет

Да

Да

Типовые настраиваемые playbook для реагирования на инциденты

Да

Да

Нет

Да

Да

Настройка playbook в визуальном конструкторе

Да

Да

Нет

Да

Да

Возможность запускать атомарные действия по инциденту вне playbook

Да, возможен запуск отдельных скриптов автоматизации действий в ИТ-инфраструктуре

Да

Нет

Да

Да

Механизм выявления killchain-атаки

Нет

Нет

Да

Да

Да

Возможность настройки playbook для каждого этапа killchain

Настройки playbook для разных типов инцидентов

Нет

Нет

Да

Да

Способы подключения к источникам данных

API, IMAP, POP3, SMTP, СУБД, XML, CSV

REST API

API Syslog

API, XML, Email, СУБД, Syslog, закрытые протоколы

API, XML, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение и закрытые протоколы, др.

Обмен информацией с ФинЦЕРТ

Нет, в разработке

Нет

Да

Да

Да

Обмен информацией с ГосСОПКА

Да

Нет

Да

Да

Да

Совместимость с MITRE ATT&CK

Нет

Нет

Да

Да

Да

Коробочная интеграция с ИБ-системами

SIEM, TIP, DLP

SIEM, DCAP, IAM

SIEM, TIP, DLP

SIEM, TIP, DLP, САЗ, ITSM, сканеры безопасности, системы мониторинга ИТ-инфраструктуры, СЗИ от НСД, управление безопасностью сети и др.

SIEM, TIP, DLP, AV, EDR, PAM, FW, IPS/ IDS, WAF, NGFW, NTA, SANDBOX, ITSM, Vuln. and IT scanners, ESG, SECURITY SERVICES & FEED, СЗИ от НСД, E-mail Security, SGRC и др.

Конструктор интеграций

Да

Да

Да

Да

Да

Возможность синхронизации объектов двух экземпляров системы

Да, при иерархической архитектуре

Да

Да

Да

Да, нативно и иерархично

Реагирование

Автоматическое реагирование на выявленные

Да

Да

Да

Да

Да

Автоматическое назначение ответственного на инцидент с учетом текущей загрузки

Да

Да

Да

Да

Да

Приоритизация инцидентов

Да

Да

Да

Да

Да

Обогащение инцидентов

Да

Да

Да

Да

Да

Поддержка SLA

Да

Да

Нет

Да

Да, с отслеживанием и визуализацией

Наличие предустановленных скриптов, реализующих технические действия

Да

Да

Да

Да

Да

Отображение на схеме связей инцидента с ИТ-активами

Да

Да

Да

Да

Да

Изоляция зараженных систем, вредоносных файлов

Да

Да

Да

Да, с использованием модуля Endpoint

Да

Автоматическая эскалация профильным специалистам

Да

Да

Да

Да

Да

Блокировка доступа и учетных данных, анализ доступа к сети

Да

Да

Да

Да

Да

Способы подключения к реагирующим системам

PowerShell, SSH, API , СУБД, SNMP, закрытые протоколы

API

API

E-mail, SSH, API , СУБД, SNMP, закрытые протоколы

API, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение, закрытые протоколы и др.

Способы оповещения об инциденте

E-mail

E-mail, Telegram, СМС, RSS, закрытые протоколы

E-mail СМС

E-mail, Telegram, СМС, RSS, закрытые протоколы

E-mail, Telegram, внутренняя лента, СМС, RSS, закрытые протоколы

Поддержка языков описания скриптов реагирования

Python, возможна реализация на других языках

Python, PowerShell, JavaScript

Нет

Bash, PowerShell, CMD, JavaScript, Python

Python, Bash, Shell скрипт Unix, cmd, bat, PowerShell, Java, JavaScript и др.

Визуализация сценария реагирования

Да

Да

Нет

Да

Да

Поддержка динамических сценариев реагирования (playbook) с логическими операторами

Да

Да

Нет

Да

Да

Возможность запуска нескольких сценариев для одного инцидента

Нет

Да

Да

Да

Да

Возможность запуска сценариев из сценариев

Нет

Да

Да

Да

Да

Возможность автоматического объединения инцидентов в группы

Да

Да

Да

Да

Да

Управление индикаторами компрометации

Да

Да

Да

Да

Да

Использование технологий машинного обучения

Нет

Да

В разработке

Да, с использованием модуля SENSE

Да, апробированные технологии в компаниях Enterprise-сегмента

Анализ и восстановление

Планирование и автоматизация восстановительных работ

Нет, в разработке

Да

Нет

Да

Да

Поддержка ретроспективного анализа

Да

Да

Да

Да

Да

Отображения локального графа расследования в карточке инцидента и актива

Реализована статусная модель обработки инцидента

Да

Нет

Нет

Да

Управление уязвимостями

Да

Да

Нет

Да

Да

Обогащение информации по уязвимостям из внешних источников

Да

Да

Да

Да

Да

База знаний нормативных актов и best-practice

Да

Да

Нет

Да

Да

Отчетность

Готовые отчеты и дашборды

Да

Да

Да

Да

Да

Дрилл-даун в дашбордах

Да

Да

Да

Да

Да

API для выгрузки в стороннюю систему

Да

Да

Да

Да

Да

Отчеты по конкретному объекту

Инциденты, активы, уязвимости

Инциденты, активы, уязвимости

Инциденты, активы, пользователи

Инциденты, активы, уязвимости

Инциденты, активы, уязвимости, по заданному объекту

Конструктор отчетов и графиков

Да

Да

Да

Да

Да

Экспорт информации по активам, инцидентам и другим элементам системы

Да

Да

Да

Да

Да

Приобретение

Модель тарификации

Приобретение

Приобретение

Приобретение или подписная модель

Приобретение или подписная модель

Приобретение или подписная модель

Факторы влияющие на стоимость

Количество ИТ-активов, количество операторов, модули, срок и уровень технической поддержки

Количество операторов системы

Количество подключаемых источников информации

Объем инфраструктуры, состав дополнительных модулей

Состав выбранных модулей, количество лицензий на коннекторы (конкурентные лицензии), режим функционирования (количество дополнительных нод портала, тенантов)

Пробный период или пилот

Пилот, от 2 недель до 3 месяцев

Пробный период 30 дней

Пробный период или пилот – до 3 месяцев

Пробный период или пилот – длительность по договоренности

Пробный период или пилот – длительность по договоренности

Сайт с подробностями решения

https://innostage-group.ru/ 

https://makves.ru/irp 

https://www.usergate.com/
ru/products/logan
 

https://rvision.ru/products/soar 

https://www.securityvision.ru/products/soar/

Производители и интеграторы IRP-/SOAR-решений

ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ

115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4
Тел.: +7 (495) 803-3660
E-mail: sales@securityvision.ru
www.securityvision.ru 

 

ЛАБОРАТОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

105082, Москва, ул. Большая Почтовая, 26В, стр. 1
Тел.: +7 (495) 723-7275
E-mail: info@islg.ru
www.islg.ru

 

MAKVES

129629, Москва, ул. Староалексеевская, 5
Тел.: +7 (495) 150-5406
E-mail: sales@makves.ru
www.makves.ru

 

POSITIVE TECHNOLOGIES

107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/ 

 

R-VISION

109544, Москва, бульвар Энтузиастов, 2
Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro
www.rvision.pro 

 

USERGATE

630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru