Специальный проект журнала "Информационная безопасность" в ноябре 2022 г.
IRP (Incident Response Platform) -- это класс программных продуктов, предназначенный для автоматизации реагирования на киберинциденты.
IRP позволяет записать в сценарии (их принято называть плейбуками, от англ. playbook -- сборник готовых сценариев) последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы. Для разных типов инцидентов можно прописать разные сценарии.
SOAR (Security Orchestration, Automation and Response) -- класс программных продуктов, предназначенный для оркестровки систем безопасности, то есть их координации и управления ими. Решения класса SOAR в первую очередь позволяют автоматизировать типовые сценарии реагирования на события информационной безопасности.
Сегодня эти термины стали почти синонимами и зачастую применяются в отношении одних и тех же решений. Современные платформы покрывают функционал обоих классов продуктов и неотделимы друг от друга. К основному функционалу данных систем можно отнести:
|
Название решения |
NextSTage IRP |
Makves IRP |
UserGate LogAnalyzer |
R-Vision SOAR |
Security Vision IRP/SOAR |
|---|---|---|---|---|---|
|
Компания-разработчик |
ООО "ОМС Солюшн" |
ООО "Маквес групп" |
UserGate |
ООО "Р-Вижн" |
ООО "Интеллектуальная безопасность" |
|
Компания, предоставившая информацию |
ООО "ОМС Солюшн" |
ООО "Маквес групп" |
UserGate |
ООО "Р-Вижн" |
ООО "Интеллектуальная безопасность" |
|
Поддержка интерфейса на русском языке |
Да |
Да |
Да |
Да |
Да |
|
Поддержка интерфейса на других языках |
Нет |
Нет |
Да, английский |
Да, английский |
Да, английский, возможность добавлять любые языки |
|
Сертификаты, патенты и лицензии |
Реестр российского ПО |
Реестр российского ПО, лицензии ФСТЭК России (СЗКИ, ТЗКИ) |
Реестр российского ПО |
Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия |
Реестр российского ПО, сертификат ФСТЭК России по 4 уровню доверия, сертификат оперативно-аналитического центра при президенте Республики |
|
Позиционирование |
IPR-система с расширенными возможностями no-code кастомизации и гибкими архитектурными возможностями |
Простой и удобный инструмент для регистрации инцидентов, управления их жизненным циклом, создания сценариев реагирования |
UserGate LogAnalyzer – NG SIEM с функционалом IRP и SOAR |
Ключевой инструмент для эффективности SOC: агрегирует инциденты, автоматизирует обогащение, реагирование |
Российский программный комплекс класса IRP/SOAR/SGRC/TIP/CMDB, предназначен для автоматизации процессов ИБ и ИТ |
|
Архитектура решения |
|||||
|
Поддерживаемые ОС |
Debian, Astra Linux |
Linux, Windows |
Устанавливается на среду виртуализа- ции, ОС не важна |
CentOS, RedHat Enterprise Linux, Debian Astra Linux "Орёл" или "Смоленск", RED OS, ALT Server, ALT 8 SP Server |
CentOS, RedHat Enterprise Linux, Oracle Linux, Ubuntu, Astra Linux "Орёл" или "Смоленск", ALT Linux, РЕД ОС, Debian, Microsoft Windows Server |
|
Поддерживаемые СУБД |
СУБД PostgreSQL |
PostgreSQL 9.6 х64 и более поздние версии |
Решение коробочное, дополнительных инсталляций не требуется |
PostgreSQL 11.14, Jatoba J1 |
PostgreSQL 10 и выше, PostgreSQL PRO 10 и выше, СУБД ЛИНТЕР, СУБД Jatoba, MS SQL Server Standard 2016 и выше |
|
Необходимость приобретения лицензий сторонних вендоров (кроме ОС и СУБД) |
Да |
Нет |
Нет |
Нет |
Нет |
|
Минимальное количество серверов для установки |
1 |
1 |
1 |
1 |
1 |
|
Встроенная ролевая модель разграничения доступа |
Изменяемая |
Изменяемая |
Изменяемая |
Преднастроенная, изменяемая |
Изменяемая кастомизируемая, штатная преднастроенная |
|
Возможности по резервированию |
Active-Passive и Active-Active |
Нет |
Active-Passive и Active-Active |
Active-Passive |
Active-Passive и Active-Active |
|
Журналирование изменений объектов в системе |
От системы |
От пользователей и от системы |
От пользователей |
От пользователей и от системы |
От пользователей и от системы, самодиагностика |
|
Поддержка работы в режиме мультиарендности |
Да |
Нет |
Да |
Да |
Да, полный функционал, используемый MSSP провайдерами |
|
Поддержка концепции low-code/no-code |
Да |
Да |
Нет |
Да |
Да, входит в рейтинг Low-code платформ 2022 (CNews) |
|
Возможность настройки структуры основного меню |
Да |
Да |
Да |
Да |
Да, меню и брендинг полностью кастомизируются под заказчика (цвета, логотипы, меню, структура, функции и др.) |
|
Дополнительные модули системы |
Оркестрация, визуализация |
Не требуются |
Не требуются |
TIP, SENSE, TDP, SGRC, Endpoint |
IRP/SOAR, SGRC, TIP, CMDB, управление активами и инвентаризацией, управление уязвимостями, ГосСОПКА, взаимодействие с ФинЦЕРТ, TIP, управление рисками кибербезопасности, управление соответствием требованиям 187-ФЗ (КИИ), управление соответствием требованиям информационной безопасности, управление операционными рисками, аналитика Big Data ML |
|
SLA техподдержки |
8x5, 24х7 |
8x5, 24х7 |
По согласованию |
8x5 |
8x5, 24х7 |
|
Формат техподдержки |
Телефон, e-mail, онлайн, мессенджеры |
Телефон, e-mail |
По согласованию |
Телефон, e-mail |
Телефон, e-mail, онлайн-портал, мессенджеры |
|
Управление инцидентами |
|||||
|
Ведение единой базы инцидентов |
Да |
Да |
Да |
Да |
Да |
|
Автоматическая инвентаризация активов |
Да |
Да |
Нет |
Да |
Да |
|
Конструктор карточки инцидентов |
Да |
Да |
Нет |
Да |
Да |
|
Типовые настраиваемые playbook для реагирования на инциденты |
Да |
Да |
Нет |
Да |
Да |
|
Настройка playbook в визуальном конструкторе |
Да |
Да |
Нет |
Да |
Да |
|
Возможность запускать атомарные действия по инциденту вне playbook |
Да, возможен запуск отдельных скриптов автоматизации действий в ИТ-инфраструктуре |
Да |
Нет |
Да |
Да |
|
Механизм выявления killchain-атаки |
Нет |
Нет |
Да |
Да |
Да |
|
Возможность настройки playbook для каждого этапа killchain |
Настройки playbook для разных типов инцидентов |
Нет |
Нет |
Да |
Да |
|
Способы подключения к источникам данных |
API, IMAP, POP3, SMTP, СУБД, XML, CSV |
REST API |
API Syslog |
API, XML, Email, СУБД, Syslog, закрытые протоколы |
API, XML, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение и закрытые протоколы, др. |
|
Обмен информацией с ФинЦЕРТ |
Нет, в разработке |
Нет |
Да |
Да |
Да |
|
Обмен информацией с ГосСОПКА |
Да |
Нет |
Да |
Да |
Да |
|
Совместимость с MITRE ATT&CK |
Нет |
Нет |
Да |
Да |
Да |
|
Коробочная интеграция с ИБ-системами |
SIEM, TIP, DLP |
SIEM, DCAP, IAM |
SIEM, TIP, DLP |
SIEM, TIP, DLP, САЗ, ITSM, сканеры безопасности, системы мониторинга ИТ-инфраструктуры, СЗИ от НСД, управление безопасностью сети и др. |
SIEM, TIP, DLP, AV, EDR, PAM, FW, IPS/ IDS, WAF, NGFW, NTA, SANDBOX, ITSM, Vuln. and IT scanners, ESG, SECURITY SERVICES & FEED, СЗИ от НСД, E-mail Security, SGRC и др. |
|
Конструктор интеграций |
Да |
Да |
Да |
Да |
Да |
|
Возможность синхронизации объектов двух экземпляров системы |
Да, при иерархической архитектуре |
Да |
Да |
Да |
Да, нативно и иерархично |
|
Реагирование |
|||||
|
Автоматическое реагирование на выявленные |
Да |
Да |
Да |
Да |
Да |
|
Автоматическое назначение ответственного на инцидент с учетом текущей загрузки |
Да |
Да |
Да |
Да |
Да |
|
Приоритизация инцидентов |
Да |
Да |
Да |
Да |
Да |
|
Обогащение инцидентов |
Да |
Да |
Да |
Да |
Да |
|
Поддержка SLA |
Да |
Да |
Нет |
Да |
Да, с отслеживанием и визуализацией |
|
Наличие предустановленных скриптов, реализующих технические действия |
Да |
Да |
Да |
Да |
Да |
|
Отображение на схеме связей инцидента с ИТ-активами |
Да |
Да |
Да |
Да |
Да |
|
Изоляция зараженных систем, вредоносных файлов |
Да |
Да |
Да |
Да, с использованием модуля Endpoint |
Да |
|
Автоматическая эскалация профильным специалистам |
Да |
Да |
Да |
Да |
Да |
|
Блокировка доступа и учетных данных, анализ доступа к сети |
Да |
Да |
Да |
Да |
Да |
|
Способы подключения к реагирующим системам |
PowerShell, SSH, API , СУБД, SNMP, закрытые протоколы |
API |
API |
E-mail, SSH, API , СУБД, SNMP, закрытые протоколы |
API, PowerShell, SSH, SNMP, HTTP, файлы, WMI, Active Directory, LDAP, DNS, почта email, Syslog, СУБД, Event Log, Kafka, локальное исполнение, закрытые протоколы и др. |
|
Способы оповещения об инциденте |
|
E-mail, Telegram, СМС, RSS, закрытые протоколы |
E-mail СМС |
E-mail, Telegram, СМС, RSS, закрытые протоколы |
E-mail, Telegram, внутренняя лента, СМС, RSS, закрытые протоколы |
|
Поддержка языков описания скриптов реагирования |
Python, возможна реализация на других языках |
Python, PowerShell, JavaScript |
Нет |
Bash, PowerShell, CMD, JavaScript, Python |
Python, Bash, Shell скрипт Unix, cmd, bat, PowerShell, Java, JavaScript и др. |
|
Визуализация сценария реагирования |
Да |
Да |
Нет |
Да |
Да |
|
Поддержка динамических сценариев реагирования (playbook) с логическими операторами |
Да |
Да |
Нет |
Да |
Да |
|
Возможность запуска нескольких сценариев для одного инцидента |
Нет |
Да |
Да |
Да |
Да |
|
Возможность запуска сценариев из сценариев |
Нет |
Да |
Да |
Да |
Да |
|
Возможность автоматического объединения инцидентов в группы |
Да |
Да |
Да |
Да |
Да |
|
Управление индикаторами компрометации |
Да |
Да |
Да |
Да |
Да |
|
Использование технологий машинного обучения |
Нет |
Да |
В разработке |
Да, с использованием модуля SENSE |
Да, апробированные технологии в компаниях Enterprise-сегмента |
|
Анализ и восстановление |
|||||
|
Планирование и автоматизация восстановительных работ |
Нет, в разработке |
Да |
Нет |
Да |
Да |
|
Поддержка ретроспективного анализа |
Да |
Да |
Да |
Да |
Да |
|
Отображения локального графа расследования в карточке инцидента и актива |
Реализована статусная модель обработки инцидента |
Да |
Нет |
Нет |
Да |
|
Управление уязвимостями |
Да |
Да |
Нет |
Да |
Да |
|
Обогащение информации по уязвимостям из внешних источников |
Да |
Да |
Да |
Да |
Да |
|
База знаний нормативных актов и best-practice |
Да |
Да |
Нет |
Да |
Да |
|
Отчетность |
|||||
|
Готовые отчеты и дашборды |
Да |
Да |
Да |
Да |
Да |
|
Дрилл-даун в дашбордах |
Да |
Да |
Да |
Да |
Да |
|
API для выгрузки в стороннюю систему |
Да |
Да |
Да |
Да |
Да |
|
Отчеты по конкретному объекту |
Инциденты, активы, уязвимости |
Инциденты, активы, уязвимости |
Инциденты, активы, пользователи |
Инциденты, активы, уязвимости |
Инциденты, активы, уязвимости, по заданному объекту |
|
Конструктор отчетов и графиков |
Да |
Да |
Да |
Да |
Да |
|
Экспорт информации по активам, инцидентам и другим элементам системы |
Да |
Да |
Да |
Да |
Да |
|
Приобретение |
|||||
|
Модель тарификации |
Приобретение |
Приобретение |
Приобретение или подписная модель |
Приобретение или подписная модель |
Приобретение или подписная модель |
|
Факторы влияющие на стоимость |
Количество ИТ-активов, количество операторов, модули, срок и уровень технической поддержки |
Количество операторов системы |
Количество подключаемых источников информации |
Объем инфраструктуры, состав дополнительных модулей |
Состав выбранных модулей, количество лицензий на коннекторы (конкурентные лицензии), режим функционирования (количество дополнительных нод портала, тенантов) |
|
Пробный период или пилот |
Пилот, от 2 недель до 3 месяцев |
Пробный период 30 дней |
Пробный период или пилот – до 3 месяцев |
Пробный период или пилот – длительность по договоренности |
Пробный период или пилот – длительность по договоренности |
|
Сайт с подробностями решения |
|||||
ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ
115280, Москва, ул. Ленинская Слобода, 26, стр. 2, этаж 4
Тел.: +7 (495) 803-3660
E-mail: sales@securityvision.ru
www.securityvision.ru
ЛАБОРАТОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
105082, Москва, ул. Большая Почтовая, 26В, стр. 1
Тел.: +7 (495) 723-7275
E-mail: info@islg.ru
www.islg.ru
MAKVES
129629, Москва, ул. Староалексеевская, 5
Тел.: +7 (495) 150-5406
E-mail: sales@makves.ru
www.makves.ru
POSITIVE TECHNOLOGIES
107061, Москва, Преображенская пл., 8
Тел.: +7 (495) 744-0144
E-mail: pt@ptsecurity.com
www.ptsecurity.com/ru-ru/
R-VISION
109544, Москва, бульвар Энтузиастов, 2
Тел.: +7 (499) 322-8040
E-mail: sales@rvision.pro
www.rvision.pro
USERGATE
630090, Новосибирск, Центр Информационных Технологий, Технопарк Академгородка, ул. Николаева, 11, 6 этаж
Тел.: 8 (800) 500-4032, +7 (383) 286-2913
E-mail: sales@usergate.ru
www.usergate.ru
Copyright © 2025, ООО "ГРОТЕК"
