IRP (Incident Response Platform) -- это класс программных продуктов, предназначенный для автоматизации реагирования на киберинциденты.
IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook -- сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно прописать разные сценарии.
SOAR (Security Orchestration, Automation and Response) -- класс программных продуктов, предназначенный для оркестровки систем безопасности, то есть их координации и управления ими. Решения класса SOAR в первую очередь позволяют автоматизировать типовые сценарии реагирования на события информационной безопасности.
Сегодня эти термины стали почти синонимами и зачастую применяются в отношении одних и тех же решений. Современные платформы покрывают функционал обоих классов продуктов и неотделимы друг от друга. К основному функционалу данных систем можно отнести:
Название решения |
NextSTage IRP |
Makves IRP |
UserGate LogAnalyzer |
R-Vision SOAR |
Security Vision IRP/SOAR |
---|---|---|---|---|---|
Компания-разработчик |
ООО "ОМС Солюшн" |
ООО "Маквес групп" |
UserGate |
ООО "Р-Вижн" |
ООО "Интеллектуальная безопасность" |
Компания, предоставившая информацию |
ООО "ОМС Солюшн" |
ООО "Маквес групп" |
UserGate |
ООО "Р-Вижн" |
ООО "Интеллектуальная безопасность" |
Поддержка интерфейса на русском языке |
Да |
Да |
Да |
Да |
Да |
Поддержка интерфейса на других языках |
Нет |
Нет |
Да, английский |
Да, английский |
Да, английский, возможность добавлять любые языки |
Сертификаты, патенты и лицензии |
Реестр российского ПО |
Реестр российского ПО, лицензии ФСТЭК России (СЗКИ, ТЗКИ) |
Реестр российского ПО |
Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия |
Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия, сертификат оперативно-аналитического центра при президенте Республики |
Позиционирование |
IPR-система с расширенными возможностями no-code кастомизации и гибкими архитектурными возможностями |
Простой и удобный инструмент для регистрации инцидентов, управления их жизненным циклом, создания сценариев реагирования |
UserGate LogAnalyzer – NG SIEM с функционалом IRP и SOAR |
Ключевой инструмент для эффективности SOC: агрегирует инциденты, автоматизирует обогащение, реагирование |
Российский программный комплекс класса IRP/SOAR/SGRC/TIP/CMDB, предназначен для автоматизации процессов ИБ и ИТ |
Архитектура решения |
|||||
Поддерживаемые ОС |
Debian, Astra Linux |
Linux, Windows |
Устанавливается на среду виртуализа- ции, ОС не важна |
CentOS, RedHat Enterprise Linux, Debian Astra Linux "Орёл" или "Смоленск", RED OS, ALT Server, ALT 8 SP Server |
CentOS, RedHat Enterprise Linux, Oracle Linux, Ubuntu, Astra Linux "Орёл" или "Смоленск", ALT Linux, РЕД ОС, Debian, Microsoft Windows Server |
Поддерживаемые СУБД |
СУБД PostgreSQL |
PostgreSQL 9.6 х64 и более поздние версии |
Решение коробочное, дополнительных инсталляций не требуется |
PostgreSQL 11.14, Jatoba J1 |
PostgreSQL 10 и выше, PostgreSQL PRO 10 и выше, СУБД ЛИНТЕР, СУБД Jatoba, MS SQL Server Standard 2016 и выше |
Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД) |
Да |
Нет |
Нет |
Нет |
Нет |
Минимальное количество серверов для установки |
1 |
1 |
1 |
1 |
1 |
Встроенная ролевая модель разграничения доступа |
Изменяемая |
Изменяемая |
Изменяемая |
Преднастроенная, изменяемая |
Изменяемая кастомизируемая, штатная преднастроенная |
Возможности по резервированию |
Active-Passive и Active-Active |
Нет |
Active-Passive и Active-Active |
Active-Passive |
Active-Passive и Active-Active |
Журналирование изменений объектов в системе |
От системы |
От пользователей и от системы |
От пользователей |
От пользователей и от системы |
От пользователей и от системы, самодиагностика |
Поддержка работы в режиме мультиарендности |
Да |
Нет |
Да |
Да |
Да, полный функционал, используемый MSSP провайдерами |
Поддержка концепции low-code/no-code |
Да |
Да |
Нет |
Да |
Да, входит в рейтинг Low-code платформ 2022 (CNews) |
Возможность настройки структуры основного меню |
Да |
Да |
Да |
Да |
Да, меню и брендинг полностью кастомизируются под заказчика (цвета, логотипы, меню, структура, функции и др.) |
Дополнительные модули системы |
Оркестрация, визуализация |
Не требуются |
Не требуются |
TIP, SENSE, TDP, SGRC, Endpoint |
IRP/SOAR, SGRC, TIP, CMDB, управление активами и инвентаризацией, управление уязвимостями, ГосСОПКА, взаимодействие с ФинЦЕРТ, TIP, управление рисками кибербезопасности, управление соответствием требованиям 187-ФЗ (КИИ), управление соответствием требованиям информационной безопасности, управление операционными рисками, аналитика Big Data ML |
SLA техподдержки |
8x5, 24х7 |
8x5, 24х7 |
По согласованию |
8x5 |
8x5, 24х7 |
Формат техподдержки |
Телефон, e-mail, онлайн, мессенджеры |
Телефон, e-mail |
По согласованию |
Телефон, e-mail |
Телефон, e-mail, онлайн-портал, мессенджеры |
Управление инцидентами |
|||||
Ведение единой базы инцидентов |
Да |
Да |
Да |
Да |
Да |
Автоматическая инвентаризация активов |
Да |
Да |
Нет |
Да |
Да |
Конструктор карточки инцидентов |
Да |
Да |
Нет |
Да |
Да |
Типовые настраиваемые playbook для реагирования на инциденты |
Да |
Да |
Нет |
Да |
Да |
Настройка playbook в визуальном конструкторе |
Да |
Да |
Нет |
Да |
Да |
Возможность запускать атомарные действия по инциденту вне playbook |
Да, возможен запуск отдельных скриптов автоматизации действий в ИТ-инфраструктуре |
Да |
Нет |
Да |
Да |
Механизм выявления killchain-атаки |
Нет |
Нет |
Да |
Да |
Да |
Возможность настройки playbook для каждого этапа killchain |
Настройки playbook для разных типов инцидентов |
Нет |
Нет |
Да |
Да |
Способы подключения к источникам данных |
API, IMAP, POP3, SMTP, СУБД, XML, CSV |
REST API |
API Syslog |
API, XML, Email, СУБД, Syslog, закрытые протоколы |
API, XML, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение и закрытые протоколы, др. |
Обмен информацией с ФинЦЕРТ |
Нет, в разработке |
Нет |
Да |
Да |
Да |
Обмен информацией с ГосСОПКА |
Да |
Нет |
Да |
Да |
Да |
Совместимость с MITRE ATT&CK |
Нет |
Нет |
Да |
Да |
Да |
Коробочная интеграция с ИБ-системами |
SIEM, TIP, DLP |
SIEM, DCAP, IAM |
SIEM, TIP, DLP |
SIEM, TIP, DLP, САЗ, ITSM, сканеры безопасности, системы мониторинга ИТ-инфраструктуры, СЗИ от НСД, управление безопасностью сети и др. |
SIEM, TIP, DLP, AV, EDR, PAM, FW, IPS/ IDS, WAF, NGFW, NTA, SANDBOX, ITSM, Vuln. and IT scanners, ESG, SECURITY SERVICES & FEED, СЗИ от НСД, E-mail Security, SGRC и др. |
Конструктор интеграций |
Да |
Да |
Да |
Да |
Да |
Возможность синхронизации объектов двух экземпляров системы |
Да, при иерархической архитектуре |
Да |
Да |
Да |
Да, нативно и иерархично |
Реагирование |
|||||
Автоматическое реагирование на выявленные |
Да |
Да |
Да |
Да |
Да |
Автоматическое назначение ответственного на инцидент с учетом текущей загрузки |
Да |
Да |
Да |
Да |
Да |
Приоритизация инцидентов |
Да |
Да |
Да |
Да |
Да |
Обогащение инцидентов |
Да |
Да |
Да |
Да |
Да |
Поддержка SLA |
Да |
Да |
Нет |
Да |
Да, с отслеживанием и визуализацией |
Наличие предустановленных скриптов, реализующих технические действия |
Да |
Да |
Да |
Да |
Да |
Отображение на схеме связей инцидента с ИТ-активами |
Да |
Да |
Да |
Да |
Да |
Изоляция зараженных систем, вредоносных файлов |
Да |
Да |
Да |
Да, с использованием модуля Endpoint |
Да |
Автоматическая эскалация профильным специалистам |
Да |
Да |
Да |
Да |
Да |
Блокировка доступа и учетных данных, анализ доступа к сети |
Да |
Да |
Да |
Да |
Да |
Способы подключения к реагирующим системам |
PowerShell, SSH, API , СУБД, SNMP, закрытые протоколы |
API |
API |
E-mail, SSH, API , СУБД, SNMP, закрытые протоколы |
API, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение, закрытые протоколы и др. |
Способы оповещения об инциденте |
|
E-mail, Telegram, СМС, RSS, закрытые протоколы |
E-mail СМС |
E-mail, Telegram, СМС, RSS, закрытые протоколы |
E-mail, Telegram, внутренняя лента, СМС, RSS, закрытые протоколы |
Поддержка языков описания скриптов реагирования |
Python, возможна реализация на других языках |
Python, PowerShell, JavaScript |
Нет |
Bash, PowerShell, CMD, JavaScript, Python |
Python, Bash, Shell скрипт Unix, cmd, bat, PowerShell, Java, JavaScript и др. |
Визуализация сценария реагирования |
Да |
Да |
Нет |
Да |
Да |
Поддержка динамических сценариев реагирования (playbook) с логическими операторами |
Да |
Да |
Нет |
Да |
Да |
Возможность запуска нескольких сценариев для одного инцидента |
Нет |
Да |
Да |
Да |
Да |
Возможность запуска сценариев из сценариев |
Нет |
Да |
Да |
Да |
Да |
Возможность автоматического объединения инцидентов в группы |
Да |
Да |
Да |
Да |
Да |
Управление индикаторами компрометации |
Да |
Да |
Да |
Да |
Да |
Использование технологий машинного обучения |
Нет |
Да |
В разработке |
Да, с использованием модуля SENSE |
Да, апробированные технологии в компаниях Enterprise-сегмента |
Анализ и восстановление |
|||||
Планирование и автоматизация восстановительных работ |
Нет, в разработке |
Да |
Нет |
Да |
Да |
Поддержка ретроспективного анализа |
Да |
Да |
Да |
Да |
Да |
Отображения локального графа расследования в карточке инцидента и актива |
Реализована статусная модель обработки инцидента |
Да |
Нет |
Нет |
Да |
Управление уязвимостями |
Да |
Да |
Нет |
Да |
Да |
Обогащение информации по уязвимостям из внешних источников |
Да |
Да |
Да |
Да |
Да |
База знаний нормативных актов и best-practice |
Да |
Да |
Нет |
Да |
Да |
Отчетность |
|||||
Готовые отчеты и дашборды |
Да |
Да |
Да |
Да |
Да |
Дрилл-даун в дашбордах |
Да |
Да |
Да |
Да |
Да |
API для выгрузки в стороннюю систему |
Да |
Да |
Да |
Да |
Да |
Отчеты по конкретному объекту |
Инциденты, активы, уязвимости |
Инциденты, активы, уязвимости |
Инциденты, активы, пользователи |
Инциденты, активы, уязвимости |
Инциденты, активы, уязвимости, по заданному объекту |
Конструктор отчетов и графиков |
Да |
Да |
Да |
Да |
Да |
Экспорт информации по активам, инцидентам и другим элементам системы |
Да |
Да |
Да |
Да |
Да |
Приобретение |
|||||
Модель тарификации |
Приобретение |
Приобретение |
Приобретение или подписная модель |
Приобретение или подписная модель |
Приобретение или подписная модель |
Факторы влияющие на стоимость |
Количество ИТ-активов, количество операторов, модули, срок и уровень технической поддержки |
Количество операторов системы |
Количество подключаемых источников информации |
Объем инфраструктуры, состав дополнительных модулей |
Состав выбранных модулей, количество лицензий на коннекторы (конкурентные лицензии), режим функционирования (количество дополнительных нод портала, тенантов) |
Пробный период или пилот |
Пилот, от 2 недель до 3 месяцев |
Пробный период 30 дней |
Пробный период или пилот – до 3 месяцев |
Пробный период или пилот – длительность по договоренности |
Пробный период или пилот – длительность по договоренности |
Сайт с подробностями решения |
ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4
Тел.: +7 (495) 803-3660
E-mail: sales@securityvision.ru
www.securityvision.ru
ЛАБОРАТОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
105082, Москва, ул. Большая Почтовая, 26В, стр. 1
Тел.: +7 (495) 723-7275
E-mail: info@islg.ru
www.islg.ru
MAKVES
129629, Москва, ул. Староалексеевская, 5
Тел.: +7 (495) 150-5406
E-mail: sales@makves.ru
www.makves.ru
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/
R-VISION
109544, Москва, бульвар Энтузиастов, 2
Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro
www.rvision.pro
USERGATE
630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru
Copyright © 2025, ООО "ГРОТЕК"