Аналитика и комментарии
Аналитическое сравнение SOAR-платформ
Грачева Ю.В., Вайц В.Л., Рудик К.П.
В обзоре мирового рынка SOAR-систем были проанализированы современные системы автоматизации реагирования на инциденты информационной безопасности, показана актуальность данного класса решений и представлено большое количество разнообразных продуктов. В настоящей работе проведен сравнительный анализ известных коммерческих решений класса IRP/SOAR от отечественных и зарубежных вендоров, предлагающих свои продукты на территории России. Продукты исследовались по общим и техническим характеристикам, а также по функциональным возможностям. Продемонстрированы широкие возможности решений класса IRP/SOAR по автоматизации обработки киберинцидентов и выполнению сопутствующих действий (аналитика, корреляция, визуализация), в том числе с использованием методов машинного обучения, искусственного интеллекта, обработки Big Data. По каждому разделу сделаны выводы.
|
Критерий сравнения |
IBM Security SOAR
Версия 40 (США) |
PaloAlto Cortex XSOAR (США) |
Siemplify
Версия 5.5.3 (Израиль) |
Security Vision IRP/SOAR
Версия 5.0.0 (Россия) |
| 1. Сравнение общих и технических характеристик | ||||
| 1.1. Требования к программному обеспечению | ||||
| Вариант поставки | Установка on-premise и в облачной инфраструктуре (IBM Cloud SOC 2 Type 2, соответствие стандартам ISO 27001, 27017, 27018). | Установка локально на виртуальной и физической инфраструктурах, а также через Docker. Установка в облачной инфраструктуре Azure, AWS. | Поддерживается установка в облачной инфраструктуре, в on-prem, на виртуальной инфраструктуре. | Software appliance, есть возможность развернуть на физических серверах. При небольших расчетных нагрузках есть опция размещения всех компонент в режиме All-in-one (на одном сервере). |
| Среды виртуализации | VMware 6.0 или старше. | VMware. | VMware. | VMware, VirtualBox, Hyper-V, Xen, Parallels, KVM. |
| Компоненты решения | Сервер СУБД, веб-сервер. | Сервер Cortex XSOAR Server, сервер Cortex XSOAR Engine. | Сервер СУБД, веб-сервер. | Сервер управления, сервер СУБД, сервисы коннекторов (коннекторы к источникам данных и коннекторы реагирования), сервис мониторинга (опционально, для режима High Availability). |
| ОС | RHEL 7.4-7.7 или старше. | Сервер Cortex XSOAR Server:
ОС CentOS (7.x и выше), Ubuntu (16.04 и выше), RHEL (7.x и выше), Oracle Linux (7.x) Сервер Cortex XSOAR Engine: Windows, MacOS, Linux. |
CentOS 7.8. | Сервер управления, сервисы коннекторов, сервис мониторинга:
Microsoft Windows Server 2012R2 и выше, CentOS 7 и выше, RHEL 7 и выше, Ubuntu 14 и выше, Astra Linux CE, AltLinux, Альт.
Сервер СУБД: Microsoft Windows Server 2012R2 и выше, CentOS 7 и выше, RHEL 7 и выше, Ubuntu 14 и выше, FreeBSD 11 и выше, Astra Linux CE, AltLinux, Альт. |
| СУБД | PostgreSQL. | Elasticsearch. | PostgreSQL, Elasticsearch. | MS SQL (SQL Server 2016 и выше), PostgreSQL 9.5 и выше. |
| Клиентское ПО | Веб-браузер. | Веб-браузер. | Веб-браузер. | Веб-браузер. |
| 1.2. Требования к аппаратному обеспечению и инфраструктуре Заказчика | ||||
| Архитектура процессора | Любая, поддерживающая ОС сервера. | Любая, поддерживающая ОС сервера. | Любая, поддерживающая ОС сервера. | Любая, поддерживающая ОС сервера. |
| Аппаратное обеспечение | Платформа:
4 ЦПУ 16 Гб ОЗУ 100 Гб дисковой подсистемы. |
Сервер Cortex XSOAR Server:
8 ЦПУ 16 Гб ОЗУ 500 Гб дисковой подсистемы. Сервер Cortex XSOAR Engine: 8 ЦПУ 16 Гб ОЗУ 20 Гб дисковой подсистемы. |
12 ЦПУ
32 Гб ОЗУ 800 Гб дисковой подсистемы. |
В зависимости от количества инцидентов и сценариев реагирования.
Сервер управления: 1-12 ЦПУ 4-16 Гб ОЗУ Сервер СУБД: 1-16 ЦПУ 4-32 Гб ОЗУ
Сервисы коннекторов, сервис мониторинга: 1-2 ЦПУ 2-4 Гб ОЗУ. |
| Поддержка географически распределенного размещения компонент | Да. | Да, с помощью агентов. | Да, с помощью агентов. | Да. |
| Возможность установки обновлений без доступа к Интернет | Да. | Нет. | Да. | Да. |
| Архитектура приложения | Микросервисная. | Микросервисная. | Монолитная. | Микросервисная. |
| 1.3. Удобство эксплуатации, администрирования | ||||
| Документация | Предоставляется на веб-сайте. | Предоставляется на веб-сайте. | Предоставляется на веб-сайте. | Предоставляется в виде контекстной HTML-справки и в виде отдельного документа. |
| Язык документации | Английский. | Английский. | Английский. | Русский, английский. |
| Язык интерфейса | Поддержка мультиязычности. Поддержка русского языка — интерфейс, объекты, поля инцидентов. | Английский. | Английский. | Русский, английский, поддержка мультиязычности (возможность добавлять любые языки). |
| Темы оформления | Настраиваются. | Светлая, темная. | Светлая, темная. | Светлая, темная. |
| Предоставляемые права доступа к ОС, на которой разворачиваются решения | Полные права доступа. | Полные права доступа. | Полные права доступа. | Полные права доступа. |
| Методы аутентификации пользователей решения | LDAP, SAML, поддержка двухфакторной аутентификации (провайдер аутентификации Duo). | LDAP, SAML, с помощью провайдеров аутентификации Duo, Okta, Microsoft Azure, Microsoft ADFS. | LDAP (Active Directory), SAML, с помощью провайдеров аутентификации Okta и G-Suite, поддержка подключения пользовательского провайдера аутентификации. | Доменная аутентификация (NTLM, Kerberos, включая SSO), аутентификация посредством протокола Radius, встроенная аутентификация.
Примечание: поддержка назначения ролей пользователям системы на основе данных о членствах групп в Active Directory. |
| Настройка сетевого взаимодействия | Конечный список требуемых протоколов и портов. | Конечный список требуемых протоколов и портов. | Конечный список требуемых протоколов и портов. | Конечный список требуемых протоколов и портов, конфигурирование брандмауэра Windows осуществляется через GUI или командную строку. Конфигурирование iptables осуществляется через Linux-консоль. |
| Поиск по всем объектам из единого интерфейса | Поиск по всем объектам, с фильтром по типу объекта, с применением поисковых строковых операторов, с поддержкой поисковых запросов формата Elasticsearch (в продукте используется поисковый и аналитический движок Elasticsearch). | Поиск по определенным типам объектов или по всем данным в системе, в том числе с помощью Regex-выражений и синтаксиса запросов Apache Lucene. Поиск по тэгам внутри системы. | Использование фильтров в поиске, поиск по кейсам, сущностям, экспорт найденных сведений в CSV. Возможность тэгирования событий и кейсов с дальнейшим поиском по тэгам. | Глобальный поиск по всем объектам. |
| Собственный API | RESTful API. | RESTful API. | HTTP Rest API. | REST API. |
| 1.4. Разграничение прав доступа к системе | ||||
| Модель разграничения доступа | Ролевая модель разграничения доступа. Создание пользовательских ролей.
Права доступа через API предоставляются аутентифицированным сущностям (API key accounts), имеющим активный внутренний Resilient-аккаунт с необходимыми правами доступа. |
Ролевая модель разграничения доступа. Создание пользовательских ролей. | Ролевая модель разграничения доступа. Создание пользовательских ролей. Установка прав доступа для пользователей и API-токенов (API keys). | Ролевая модель разграничения доступа.
Настраиваемые роли, на основании атрибутов объектов.
Разграничение доступа ко всем объектам в системе с назначением прав на чтение, изменение, создание, выполнение групповых операций для конкретного пользователя/группы.
Разграничения доступа к содержимому (контенту) карточек (к любому полю) в зависимости от текущего состояния в рабочем процессе (workflow).
Разрешения построены по принципу «Модуль – Объект доступа – Право доступа – Политика». |
| Поддержка гранулированного доступа | Да. | Да. | Да. | Возможность создавать пользовательские роли с разрешениями на выполнение конкретных действий с конкретными объектами, объединять пользователей в группы и назначать им роли.
Функционал «Рабочих процессов» позволяет определять порядок взаимодействия с любым логическим объектом (инцидент, актив, уязвимость, задача и т.д.) различных групп пользователей, в том числе в зависимости от текущего состояния и значений свойств объекта, с учетом ролей и прав пользователей. |
| 1.5. Журналирование | ||||
| История действий пользователя | Ведется история действий пользователей и администраторов. | Ведется история действий пользователей и администраторов. | Ведется история действий пользователей и администраторов. | Ведется история действий пользователей и администраторов во всех модулях, включая отправку информации об активности на email, по syslog и SNMP. |
| Журналирование действий с объектами | Да, действия пользователей. | Да, действия пользователей. | Да, действия пользователей. | Ведется история изменения всех объектов (изменение свойств, состояний рабочего процесса, выполненных транзакций) с сохранением старого и нового значения измененного свойства. |
| Мониторинг функционирования решения | Журналирование средствами системы и ОС. | Журналирование средствами системы и ОС. | Журналирование средствами системы и ОС. | Журналирование средствами ОС (Windows-журнал Application, текстовые файлы), журналирование путем записи событий в БД. |
| 1.6. Безопасность | ||||
| Защита коммуникаций между компонентами решения | Использование протоколов SSL/TLS. | Использование протоколов SSL/TLS. | Использование протоколов SSL/TLS. | Использование протоколов SSL/TLS и возможность аутентификации по сертификатам между всеми компонентами системы, использование выданных Центром Сертификации/Удостоверяющим Центром сертификатов.
|
| Защита доступа пользователей к веб-интерфейсу | Доступ к веб-интерфейсу через HTTPS. | Доступ к веб-интерфейсу через HTTPS. | Доступ к веб-интерфейсу через HTTPS. | Доступ к веб-интерфейсу через HTTPS, использование протокола TLS 1.2, возможность ограничения IP-адресов, которым разрешен доступ. |
| Настройка тайм-аута веб-сессии | Да. | Да. | Да. | Да. |
| Настройка сложности и срока действия пароля (при использовании встроенной аутентификации) | Да. | Да. | Да. | Да. |
| Блокировка учетной записи при неуспешных попытках аутентификации | Да. | Да. | Да. | Да. |
| Двухфакторная аутентификация пользователей | Да, с помощью провайдеров аутентификации. | Да, с помощью провайдеров аутентификации. | Да, с помощью провайдеров аутентификации. | Да, по сертификатам. |
| Ограничение доступа к решению на сетевом уровне | Нет, только средствами ОС. | Нет, только средствами ОС. | Нет, только средствами ОС. | Да, через веб-интерфейс: разрешение на доступ к системе только с определенных IP-адресов, диапазонов IP-адресов, подсетей. |
| 1.7. Лицензирование | ||||
| Стоимость лицензии | Отдельные модули могут лицензироваться дополнительно (MSSP add-on, Privacy add-on). | Зависит от функционала, типа подписки, количества пользователей, операторов, количества коннекторов, срока действия и типа приобретаемой технической поддержки. | Зависит от функционала, типа подписки, количества пользователей, операторов, количества коннекторов, срока действия и типа приобретаемой технической поддержки. | Зависит от перечня выбранных функциональных модулей и количества коннекторов, возможности использовать режим высокой доступности / многонодности, выбранного уровня технической поддержки. |
| Тип лицензии | Подписки (для on-prem и облачных инсталляций) и бессрочные лицензии (для on-prem инсталляций). | Подписки и бессрочные лицензии. | Подписки и бессрочные лицензии. | Бессрочная, MSSP. |
| Количество пользователей | Ограничено. Пользователи докупаются. | Ограничено. Пользователи докупаются. | Ограничено. Пользователи докупаются. | Не ограничено. |
| Количество активов (ИТ активов) | Не ограничено. | Не ограничено. | Не ограничено. | Не ограничено. |
| Количество коннекторов | Не ограничено. | Ограничено. Коннектора докупаются. | Ограничено. Коннектора докупаются. | Не ограничено в enterprise версии.
Ограничено в «коробочной» версии. |
| Техническая поддержка | Есть. Язык оказания услуги: английский. |
Есть. Язык оказания услуги: английский. |
Есть. Язык оказания услуги: английский. |
Есть. Язык оказания услуги: русский, английский. |
| Дополнительно | Выбор типа лицензии зависит от срока хранения данных инцидентов, подключенных TI-фидов, доступных автоматизаций, отчетности. Есть бесплатная Community Edition. | Временной период (retention period) хранения данных по закрытым кейсам зависит от лицензии и может быть дополнительно расширен за счет ее расширения. | Вендор предлагает «коробочное» и enterprise решение, адаптируемое под Заказчика настройками.
Оба варианта содержат пакеты экспертизы. |
|
| 1.8. Сертификаты | ||||
| Сертификаты ФСТЭК, ФСБ | Нет. | Нет. | Нет. | Продукт сертифицирован ФСТЭК России по 4 уровню доверия, может использоваться для обеспечения ИБ в значимых объектах КИИ 1-ой категории, в ГИС 1-ого класса защищенности, в ИСПДн с 1-ым уровнем защищенности персональных данных.
Продукт включен в Единый реестр российских программ для ЭВМ и баз данных. |
| 1.9. Внедрения (список Заказчиков, из открытых источников) | ||||
| Внедрения | Barclays, АО Россельхозбанк, CAE, Пенсионный Фонд России. | Comcast, Oracle, Unity Technologies, Магнит, АвтоСпецЦентр. | Horace Mann, Fedex, ExxonMobile, Atos. | Сбер, Ростех, Открытие, ФСО России, СДМ Банк, Почта России, Гознак. |
| 1.10. Прочее | ||||
| Работа в режиме multitenancy | Да, поддержка MSSP-провайдеров реализована в MSSP add-on. | Расширенная поддержка Multitenancy. | Продвинутая поддержка Multitenancy для MSSP-провайдеров и коммерческих SOC-Центров. | Да, с поддержкой гранулярного разграничения доступа для MSSP, включая возможность физического разделения данных. |
| Отказоустойчивость | Да. | Да, режим Live Backup для мгновенного переключения на резервную копию. | Да. | Да, в режиме Active-Passive, Active-Active. |
Сравнение общих и технических характеристик рассматриваемых решений показывает, что для современных IRP/SOAR-систем в целом характерны одинаковые архитектурные подходы: поддержка сред виртуализации и Open Source платформ, широкое использование API-интерфейсов, доступ к продукту через веб-интерфейс с поддержкой различных методов аутентификации, гибким поиском и опциями кастомизации внешнего вида, поддержка работы в режиме multitenancy и быстрое масштабирование для выполнения требований MSSP-провайдеров в части производительности. При этом продукты от вендоров широкой специализации (IBM, PaloAlto) гарантированно раскроют свои возможности при работе в тесной связке со смежными системами данных производителей, а компоненты и внутренние механизмы таких продуктов также зачастую «завязаны» на использование единого технологического стека вендора. Вендоронезависимые же продукты могут похвастаться большей гибкостью и широтой интеграционных возможностей.
Отечественное решение от Security Vision обладает определенными конкурентными преимуществами по сравнению с зарубежными продуктами: имеет сертификаты ФСТЭК России, включен в Единый реестр российских программ для ЭВМ и баз данных, вендор может оказывать оперативную поддержку on-site и на русском языке, знаком со спецификой рынка. Российское решение поддерживает установку на отечественные операционные системы, что может также стать определяющим фактором при выборе для ряда заказчиков. Игрок также предлагает нечто большее, чем просто IRP/SOAR-системы: интеграция процессов управления ИБ (с помощью модулей SGRC-систем) и процессов реагирования на киберинциденты обеспечивает более глубокое видение событий и инцидентов ИБ, обогащение данных, дает необходимый контекст для принятия решений при обработке киберинцидентов. Security Vision предлагает заманчивые лицензионные условия (неограниченное количество ИТ-активов и пользователей в системе, включенные в стоимость пакеты экспертизы), гибкие опции установки (поддержка Windows-инсталляций), возможности физической изоляции данных тенантов (что может быть критично для определенных клиентов MSSP-провайдеров).
Стоит отметить, что ряд западных и российских производителей пошли по пути микросервисной архитектуры, что, с одной стороны, упрощает поставку более сложных интеграций, но с другой - ведет к необходимости дополнительной квалификации сотрудников, ответственных за обслуживание продукта. Наличие сертификатов российских регуляторов и возможность установки на отечественные операционные системы может стать определяющим для ряда заказчиков.
| 2. Сравнение функциональных возможностей | ||||
| 2.1. Сценарии автоматизации и реагирования | ||||
| 2.1.1. Работа со сценариями | Использование динамических плейбуков, реализующих бизнес-логику процедур реагирования на киберинциденты компании, с правилами, условиями, действиями, фазами, задачами, скриптами, рабочими процессами.
Графический редактор рабочих процессов (Workflow) реагирования на киберинциденты позволяет задать логику работы повторяемых бизнес-процессов и сценариев реагирования со сложными условиями выполнения и постановкой ручных и автоматически выполняемых задач. Небольшой рабочий процесс может являться составной частью более сложного рабочего процесса.
|
Решение получает сообщения о потенциальных инцидентах из подключенных ИТ/ИБ-систем (например, из SIEM-систем, систем электронной почты), из CSV-файлов, с помощью RESTful API, инциденты также могут создаваться в системе вручную. Регламенты реагирования на инциденты отражаются в кастомизируемых плейбуках (сценариях реагирования), написанных в формате YAML в соответствии со стандартом COPS. Поддерживается выполнение скриптов на Python и JavaScript, которые запускаются при выполнении задач (Tasks), используемых в плейбуках и при выполнении команд в «командном пункте» (War Room, рабочее пространство обработки инцидента со всеми действиями, артефактами, журналированием). Команды из «командного пункта» могут выполнять некоторые действия в самой платформе XSOAR (например, закрытие инцидента), а также выполнять действия в интегрированных системах (например, проверить репутацию IP-адреса). Поддержка создания запланированных событий с помощью функционала задач (Jobs), которые запускаются либо по таймеру, либо по определенному входящему событию. | Входные данные поступают от SIEM-систем. Далее решение агрегирует релевантные события в инциденты (кейсы, cases) с помощью настраиваемых правил группировки, затем применяется плейбук для данного типа инцидента, затем получившийся кейс назначается на конкретного аналитика. Плейбук представляет собой предопределенный набор действий, применяемый при выполнении триггеров и логических условий для каждого из типов событий, в целях обогащения данных о событии из подключенных ИТ/ИБ-систем, запроса информации у затронутых инцидентом пользователей, а также для принятия решения и выполнения автоматических или автоматизированных действий на подключенных системах для противодействия угрозе. Результат работы действий (Actions) возвращается в виде сообщений, таблиц, ссылок, файлов, JSON-объектов. Далее аналитик может выполнить дополнительные действия, запустить скрипты и команды, а затем принять решение о закрытии или эскалации кейса.
|
Входные данные поступают от интегрированных систем или смежных модулей платформы. Работа с инцидентами настраивается через универсальный функционал рабочих процессов, реализующих механизм обработки и жизненного цикла инцидентов, включая обогащение из внешних систем и выполнение активных действий. Графический редактор процессов реагирования. Выполнение действий по реагированию в зависимости от выполнения логических условий. |
| 2.1.2 Поддержка сложной логики в плейбуках | Возможность реализации сложной логики реагирования на инциденты предоставляется с помощью создания Python-скриптов (поддерживаются версии Python 2.7 и 3.6), которые позволяют получать доступ к данным инцидентов и выполнять сложные действия. Скрипты могут запускаться правилами или рабочими процессами. Для Python-скриптов запрещен доступ к файловой системе сервера и сетевому взаимодействию, также не поддерживается импорт определенных Python-библиотек. Список Python-модулей, доступных для импорта, также ограничен. | Поддерживается создание плейбуков в формате YAML в соответствии со стандартом COPS. Создание элементов (инциденты, индикаторы) из командной строки решения, используя проприетарный синтаксис. | С помощью редактирования Python-скриптов. | Графический интерфейс редактора плейбуков позволяет реализовывать как предустановленные действия, так и функционал операций сложной логики: математических, логических, текстовых, операций, а также операций с массивами. |
| 2.1.3 Поддержка запуска плейбуков по расписанию | Нет. | Нет. | Да. | Да. |
| 2.1.4. Встроенная среда разработки (IDE) для создания рабочих процессов | Нет. | Нет. | Да, создание пользовательских сценариев во встроенной среде IDE на Python 2.7. | Нет, с использованием интеграций. |
| 2.1.5. Наличие предварительно настроенных плейбуков | Да. | Да. | Да, более 80 предустановленных плейбуков для наиболее распространенных сценариев использования (use-cases). | Да, более 50 предустановленных плейбуков. |
| 2.1.6. Доступ к плейбукам от сообщества | Нет. | Доступ к плейбукам от сообщества через маркетплейс. | Доступ к сценариям реагирования и плейбукам от сообщества через Маркетплейс. Возможность расшарить собственные сценарии реагирования и плейбуки для других пользователей решения после проверки и согласования вендором. | Нет. |
| 2.1.7. Поддержка бескодовой опции создания плейбуков | Да, бескодовое создание плейбуков в графическом редакторе рабочих процессов и правил реагирования. | Да, бескодовое создание плейбуков в графическом редакторе плейбуков. | Да, с помощью графического редактора плейбуков. | Да, с помощью графического редактора плейбуков. |
| 2.1.8. Возможность экспорта / импорта плейбуков | Да, экспорт и импорт правил, рабочих процессов, скриптов, полей карточки инцидента, функций, фаз, задач в JSON-файл. | Да, экспорт плейбука в PNG-формате. | Да, экспорт плейбуков в форматы CSV, PDF. Экспорт/импорт плейбуков (формат ZIP) для переноса из одной среды в другую, создания копий и т.д. | Импорт/экспорт любых данных в машиночитаемом виде.
Импорт/экспорт любых объектов в формат xlsx, csv, docx, pdf.
Импорт/экспорт настроенных рабочих процессов во внутреннем формате.
Экспорт элементов в графический формат (png, jpeg). |
| 2.1.9. Поддержка версионности плейбуков, возможность отката к предыдущей версии | Нет. | Нет. | Поддержка версионности плейбуков, просмотра истории версий плейбуков, возможность отката к любой из предыдущих версий. | Нет. |
| 2.1.10. Поддержка симуляции (тестирования) реагирования по плейбукам перед их публикацией | Возможность создания симуляций реагирования на тестовые инциденты с отработкой действий по реагированию (функционал Simulations). Поддерживаются 2 типа симуляций: сценарии (отработка действий по реагированию на инцидент) и оценка рисков (моделирование ситуации утечки персональных данных с предоставлением рекомендаций и указанием величины потенциального штрафа за утечку). Требуется специальное разрешение (пермиссия) для создания симуляции из интерфейса решения. | Тестирование скриптов, команд, API в выделенной тестовой среде (Playground). Использование продуктовых и тестовых репозиториев для проверки корректности обновлений, скриптов, плейбуков. | Возможность создать тестовый кейс вручную, провести симуляцию кейса (Simulate case) для проверки нового плейбука на имеющихся в системе событиях. Возможность тестирования (методом симуляции) имеющегося события ИБ путем его клонирования. Запуск плейбуков на стейджинговом сервере с возможностью переноса на продуктивный сервер. | Да. |
| 2.2. Механизмы взаимодействия с интегрированными системами | ||||
| 2.2.1 Протоколы взаимодействия с MS Windows системами | MS RPC, PS-Remoting (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell. | MS RPC, PS-Remoting (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell. | MS RPC (аутентификация NTLM). Выполнение команд Widows Shell, PowerShell. | MS RPC (аутентификация NTLM, Kerberos). Выполнение команд Widows Shell, PowerShell, WMI. |
| 2.2.2 Протоколы взаимодействия с Linux системами и программными программно-аппаратными комплексами | SSH, SNMP. | SSH, SNMP. | SSH, SNMP. | SSH, SNMP. |
| 2.2.3 Модуль инвентаризации ИТ активов | Нет. Путем интеграции с IBM QRadar. | Нет. Путем интеграции с подключенными системами, в т.ч. Asset Management. | Нет. Путем интеграции с подключенными системами, в т.ч. Asset Management. | Да, собственная разработка. |
| 2.2.4 Поддерживаемые базы данных | MySQL/MariaDB, PostgreSQL, Microsoft SQL Server. | MySQL, PostgreSQL, Microsoft SQL Server, Oracle. | MS SQL, MySQL, PostgreSQL. | MS SQL, MySQL, PostgreSQL, Oracle. |
| 2.2.5 Поддержка Web запросов | REST, SOAP. | REST, SOAP. | REST, SOAP. | REST, SOAP. |
| 2.2.6 Поддержка потоков событий | Syslog. | Syslog. | Syslog. | Syslog. |
| 2.2.7 Поддержка SIEM систем | IBM Qradar, McAfee ESM, Micro Focus ArcSight, Splunk. | IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk, FortiSIEM. | IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk. | MP SIEM, IBM Qradar, McAfee ESM, Micro Focus Arcsight, Splunk, FortiSIEM, RSA Netwitness SIEM, RuSIEM. KAV KUMA, Комрад SIEM. |
| 2.2.8 Поддержка DLP систем | Forcepoint, Symantec. | Forcepoint, Symantec. | Forcepoint, Symantec. | InfoWatch, Searchinform, Falconegaze. |
| 2.2.9 Поддержка брокеров сообщений | Kafka. | Kafka. | Нет. | Kafka, IBM MQ. |
| 2.2.10 Поддержка систем виртуализации | VMware. | VMware. | VMware. | VMware, Microsoft Hyper-V, OpenStack. |
| 2.2.11 Поддержка российских CERT | Нет. | Нет. | Нет. | ФинЦЕРТ, НКЦКИ. |
| 2.2.12 Поддержка и взаимодействие с Active Directory | LDAP. Взаимодействие и выгрузка на базе собственной разработки. | LDAP. Взаимодействие и выгрузка на базе собственной разработки. | LDAP. Взаимодействие и выгрузка на базе собственной разработки. | LDAP, ADWS.
Взаимодействие и выгрузка на базе собственной разработки. |
| 2.2.13 Поддержка E-mail сервисов | Microsoft Exchange, Microsoft Exchange Online. | Microsoft Exchange Online. | Microsoft Exchange, IMAP\POP3, SNMP. | Microsoft Exchange, IMAP\POP3, SNMP. |
| 2.2.14 Поддержка систем защиты конечных устройств
|
Kaspersky, McAfee, Symantec, Carbon Black. | Microsoft Defender, McAfee, CrowdStrike, Carbon Black, Symantec. | Microsoft Defender ATP, McAfee, CrowdStrike, Carbon Black, Symantec. | Kaspersky, McAfee, Symantec, Код Безопасности. |
| 2.2.15 Поддержка систем управления уязвимостями | IBM VM, Tenable, Qualys. | Tenable, Qualys, Nexpose. | Tenable, Qualys, beSecure. | Tenable, Qualys, RedCheck, MaxPatrol, Nexpose, SkyBox, OpenVAS. |
| 2.2.16 Выполнение пользовательских скриптов | Отправка сообщений, выполнение функций, выполнение действий на подключенных системах с помощью программ выполнения удаленных действий (Action Processor).
Resilient App (расширение/интеграция) — набор компонент плейбуков (включает в себя правила, рабочие процессы, Python-скрипты, кастомные поля карточки инцидента, таблицы с данными, места назначения сообщений для внутреннего обмена информацией) или исполняемого кода (для доступа и получения данных из внешних систем, интеграции и взаимодействия с ними). Resilient App могут представлять из себя как независимые Kubernetes-контейнеры, так и программные расширения, требующие сервер интеграции. В результате работы Resilient App выполняются следующие действия: отправка данных и интерпретация результатов выполнения, запись результатов выполнения в карточку инцидента, обращение к TI-сервису, обращение к сторонней системе и двустороннее взаимодействие с ней через RESTful API. Поддержка загрузки Resilient App из маркетплейса IBM. Поддержка парсинга email-сообщений с подключенного почтового ящика с помощью Python-скриптов. |
Поддерживается интеграция с помощью RESTful API. Для выполнения Python-скриптов и работы интеграций используются Docker-контейнеры, содержащие в себе все необходимые для работы библиотеки и зависимости, программно изолированные от сервера Cortex для повышения безопасности. Поддерживается возможность отправки уведомлений администраторам об ошибке получения данных от интеграций. | Возможность преобразовывать поступающие от источников данные (значения свойств) в свойства решения с помощью функций трансформации (с помощью Regex-выражений), обработка результатов выполнения действий (поступают в виде JSON-объектов) с помощью Pipe-функций (обработка массивов, фильтрация, сортировка, нормализация). Установка прав доступа для API-токенов (API keys). | Коннекторы позволяют осуществлять взаимодействие с различными системами посредством следующих протоколов и механизмов: · Apache Kafka · DNS · HTTP · HTTPS · IBM MQ · IMAP · PowerShell · RPC · REST · SNMP · SOAP · LDAP · Microsoft SQL · MySQL · Oracle · PostgreSQL · SSH · CMD · TLS · WMI · Java · Javascript · PowerShell · Python
Полученные результаты могут быть обработаны как JSON, XML или Text, с указанием пути до искомого элемента, а также преобразованы на основании регулярных выражения и сохранены в множественные поля инцидента.
Поддержка парсинга email-сообщений с подключенного почтового ящика.
Доступно формирование многоэтапных команд формата аутентификация-запрос данных-получение данных. |
| 2.2.17. Типы интегрируемых систем | Интеграция с более чем 180 ИТ/ИБ-системами с помощью технологии контейнеризации Resilient App Host (на основе Kubernetes). | Более 500 встроенных интеграций, полная интеграция с продуктами PaloAlto.
|
Более 230 интеграций с ИТ/ИБ-системами. | Преднастроенная интеграция с более чем 100 ИТ/ИБ-системами разных классов.
|
| 2.2.18. Наличие двухстороннего взаимодействия с интегрированными системами | Двухстороннее взаимодействие с подключенными системами через RESTful API, передача данных в JSON-формате, доступ ко всему функционалу решения, доступ к интерактивному REST API-браузеру для оценки всех возможностей. | Поддержка двухсторонней интеграции с некоторыми ИТ/ИБ-системами с синхронизацией данных (Mirroring). | В зависимости от интеграции. | Да, двухстороннее взаимодействие с подключенными системами. |
| 2.2.19. Возможность создания пользовательской интеграции | Да, Resilient SDK для создания Resilient Apps в формате Kubernetes-контейнеров или программных расширений. В контейнерах запущена среда Python 3.6.8 и фреймворк Resilient Circuits для реализации обмена текстовыми сообщениями через протокол STOMP и REST API-взаимодействие с самой платформой Resilient. Предоставляются шаблоны для создания кастомного приложения.
Механизм работы с внешними ИТ/ИБ-системами реализован через механизм функций (Functions), с помощью которого можно отправить данные из карточки инцидента (статические или динамически полученные) через место назначения сообщения (Message Destination) во внешнюю систему и получить результат их обработки в формате JSON, с последующим изменением данных в карточке инцидента, приложением файла-аттача, добавлением записи в таблицу данных и т.д. Существует портал для разработчиков, GitHub-репозиторий и сообщество. |
Да, создание пользовательских интеграций с помощью функционала BYOI (Bring Your Own Intergration). Использование Cortex XSOAR IDE для разработки скриптов автоматизации на Python (версии 2.7 или 3.x). | Да, создание пользовательских интеграций и действий (Actions) через встроенную среду IDE на Python 2.7. Просмотр, правка исходного кода коммерческих интеграций и действий, а также импорт, экспорт, управление ими в среде IDE. Подсветка синтаксиса Python 2.7, возможность добавлять библиотеки через Python PIP. Контроль версий, история версий, возможность отката к предыдущей версии. | Да. Универсальный механизм создания новых коннекторов, реализованный по принципу Low-code. |
| 2.2.20. Поддержка бескодовой интеграции с ИТ/ИБ-системами | Бескодовая интеграция с механизмом Resilient App Host. | Нет. | Нет. | Нет. |
| 2.2.21. Интеграция с системами Threat Intelligence | Да, встроенная интеграция с TI-сервисами (IBM X-Force Exchange, AlienVault, iSight Partners, SANS Internet Storm Center, VirusTotal), возможность добавить дополнительные TI-фиды, подключить собственный TI-сервис через REST API. Возможность использовать GeoIP фиды. | Да, поддержка создания пользовательских полей в индикаторах и пользовательских типов индикаторов компрометации, настройка отображения карточки индикатора. Анализ репутации индикаторов с помощью функционала DBot. Обработка TI-данных может осуществляться с помощью функционала DBot, интегрированного с мессенджером Slack. Получение индикаторов через интеграции (TI-фиды и сервисы обогащения TI-данных), из событий ИБ (например, из SIEM-систем), вручную (загрузка STIX-файлов в решение). Возможность экспорта и импорта индикаторов (форматы CSV, STIX). Учет достоверности источника TI-данных. Учет устаревания индикаторов. Запуск плейбуков при поступлении обновлений от TI-фидов. Возможность экстракции индикаторов из поступающих событий ИБ и немедленного их использования в качестве параметров в плейбуках. Использование технологии fuzzy hashes (SSDeep-хэшей). | Да, технология Siemplify ThreatFuse в партнерстве с киберразведователь-ной компанией Anomali для сбора, анализа и управления TI-данными и индикаторами компрометации с применением методов машинного обучения.
Получение данных от TI-фидов в рамках настроенных интеграций. Возможность создания пользовательского индикатора и внесения данных вручную. |
С помощью решения для управления данными киберразведки Security Vision Threat Intelligence Platform. |
| 2.2.22. Наличие маркетплейса | Маркетплейс и GitHub-репозиторий. | Встроенный маркетплейс с контент-паками (бесплатными и платными), включающими в себя интеграции, плейбуки, дашборды, скрипты автоматизации, сценарии использования (use cases), отчеты. Портал с приложениями от Palo Alto и партнеров. | Маркетплейс с шаблонами плейбуков, сценариями использования (use cases), интеграциями, которые могут загружаться вендором, сторонними пользователями (после вендорской проверки), а также самим конечным пользователем системы. Возможность офлайн-загрузки обновлений контента (через ZIP-архивы). | Нет. |
| 2.2.23. Агенты реагирования | Нет. | Использование D2-агентов для ОС Windows, Linux, MacOS для выполнения на удаленных устройствах действий по реагированию (скрипты, команды), для сбора форензик-данных. На Windows-устройствах поддерживается удаленное выполнение команд получения списка запущенных процессов, сервисов, WMI-запросов, обращение к реестру, файловой системе, учетным записям, сетевой конфигурации, получения дампа ОЗУ. | Агент для выполнения действий по реагированию на удаленных площадках: кросс-платформенное (Windows, Linux) Python-приложение, устанавливаемое как on-prem, так и в облачной среде (с поддержкой запуска из Docker-контейнера). Агент взаимодействует с прокси-сервером (Publisher) по HTTPS для получения новых команд и отправки собранных данных. | Нет.
Опционально при необходимости, реализуется в качестве отдельно поднятого сервиса по реагированию. |
| 2.3. Механизмы внутренней кросс-модульной интеграции | ||||
| 2.3.1. Взаимодействие между модулями решения | Нативная интеграция с SIEM-системой IBM QRadar (обмен данными об инцидентах, запрос событий) и с провайдером данных киберразведки IBM X-Force Exchange. | Использование внутренних пользовательских справочников («Lists») с хранением текстовых данных, JSON-объектов и файлов, доступных для использования в автоматизациях, плейбуках, скриптах, «командных центрах». | Поддерживается ручное создание задач. | Платформа предназначена для управления и автоматизации ИБ. На единой платформе работают продукты и модули IRP/SOAR/SGRC. Позволяет автоматизировать такие процессы ИБ, как: управление инцидентами, управление активами и инвентаризацией, управление уязвимостями, анализа угроз кибербезопасности (TI), взаимодействие с НКЦКИ (ГосСОПКА), ФинЦЕРТ, управление рисками кибербезопасности, управление соответствием, управление операционными рисками. Все функциональные модули могут взаимодействовать между собой как с точки зрения обмена данными и обогащения, так и для реализации логики рабочего процесса обработки. |
| 2.3.2. Интеграция с системой управления киберрисками | Нет. | Нет. | Нет. | Да. |
| 2.4. Управление инцидентами (кейс-менеджмент) | ||||
| 2.4.1. Настройка карточки инцидента | Настройка отображения карточки инцидента (функция Incident Layouts). Использование таблиц данных в карточке инцидента для отображения сведений по инциденту в табличном виде, для возможности записи в них данных, полученных от подключенных ИТ/ИБ-систем, и дальнейшего использования этих данных внутри продукта. Поддержка создания произвольных полей карточки инцидента. Поддержка установки таймеров выполнения для полей инцидентов (для построение временных метрик реагирования, для переключения рабочего процесса на альтернативный маршрут в случае превышения времени ожидания). Поддержка добавления HTML-элементов в карточку инцидента. | Поддерживается создание пользовательских полей в карточке инцидента. Возможность просмотра выполняющегося плейбука в режиме реального времени, возможность назначать задачи из интерфейса просмотра инцидента (вкладка Work Plan). Полная кастомизация свойств и внешнего вида карточки инцидента с учетом прав доступа пользователей. Возможность автоматизации создания и заполнения свойств карточки инцидента с помощью скриптов (Python, PowerShell, JavaScript). | Настройка отображения кейсов, фильтрация, сортировка. | Гибкая настройка карточки инцидента в графическом редакторе и с помощью графического или HTML-редактора. Возможность произвольного расположения полей на карточке (без предустановленной «сетки»). Возможность создания вкладок в карточке. Возможность настройки состава отображаемых данных связанных объектов (активов, уязвимостей и т.д.). Возможность настройки представления в зависимости от роли пользователя. Форматирование, валидация и автозаполнение полей карточки в зависимости от значения поля и других полей. |
| 2.4.2. Модель разграничения доступа к данным инцидентов | Гранулированное предоставление доступа к объектам на основе ролевой модели, что позволяет предоставлять доступ к определенным инцидентам с определенными правами (создание, просмотр, редактирование, выполнение задач, создание отчетов, закрытие или удаление инцидентов), а также к артефактам, симуляциям, задачам, входящим email-сообщениям с подключенного к Resilient почтового ящика. Создание пользовательских ролей. Возможность отображения значения свойства инцидента только при выполнении определенных логических условий. Установка прав доступа для API-токенов (API keys). | Создание пользовательских ролей, гранулированные права доступа (запрет на доступ, только чтение, чтение и изменение) к модулям решения, возможность предоставления роли на определенное время (например, на время дежурства аналитика в SOC). Прозрачная аутентификация любого пользователя домена на Self-Service-портале с минимальными правами на чтение (заведение инцидента, просмотр статуса своей заявки). Предоставление гранулированных прав доступа (без доступа, только чтение, чтение и запись) к инцидентам и расследованиям с помощью ролевой модели доступа, а также предоставление доступа к чувствительным инцидентам только определенным сотрудникам (Team Members). | Пользователи присваиваются определенному «департаменту», чьи члены будут участвовать в обработке инцидентов. Назначается роль аудитора, который может просматривать все инциденты, закрывать и повторно открывать их. Присутствует роль «Администратора» с полными правами, роль с правами только на чтение, роль для стандартных пользователей. Установка прав доступа для пользователей и API-токенов (API keys). Возможность задания ограничений на использование определенных действий (Actions). Возможность создания до 20 пользовательских ролей. | Разграничение доступа к инцидентам на основе ролевой модели. Возможность ограничивать доступ к инцидентам на основании любых свойств инцидента. Возможность ограничивать доступ к просмотру определенных свойств конкретных объектов (например, определенных свойств инцидентов, содержащих конфиденциальную информацию). |
| 2.4.3. TLP-метки конфиденциальности инцидентов | Да, с использованием интеграций. | Нет. | Нет. | Да, в карточке модуля взаимодействия с НКЦКИ. Данный тип метки может быть импортирован в любую другую карточку инцидента. |
| 2.4.4. Возможность создания вложений в карточку инцидента | Да, возможность создания произвольных вложений в карточке инцидента. | Да, поддерживается создание вложений ( «свидетельств») к инцидентам. | Да, поддерживается добавление вложения в кейс. | Да, возможность добавления неограниченного количества полей типа «Файл» в карточку инцидента (например, «Объяснительные», «Артефакты», «Аналитические отчёты» и т.д.).
Возможность обмена файлами в рамках чата внутри карточки инцидента. |
| 2.4.5. Создание пользовательских типов инцидентов | Поддержка создания новых типов и подтипов инцидентов с иерархической структурой (родительские/дочерние типы инцидентов). Правила реагированию присваиваются определенным типам инцидентов для корректной обработки тех или иных ситуаций. | Предоставляется возможность создания пользовательских типов инцидентов с кастомизированными полями карточки инцидента. | Создание пользовательских типов кейсов. | Создание пользовательских категорий и типов инцидентов, уровней критичности, способов реализации, шаблонов инцидентов. |
| 2.4.6. Приоритизация инцидентов | Приоритизация инцидентов на основе логики правил и рабочих процессов. | Приоритизация инцидентов на основании правил в плейбуках на основании рекомендаций машинного обучения. | Настройка приоритетов последовательного выполнения плейбуков (до 3-х плейбуков) для одного типа события. | Автоматическая приоритезация инцидентов на основании логики рабочего процесса (включая расчёт по пользовательским формулам с использованием других данных платформы – активов, пользователей, уязвимостей, рисков и т.д.). Ручная приоритезация инцидентов пользователями. |
| 2.4.7. Отсеивание ложноположительных инцидентов | Нет. | Отсев ложноположительных срабатываний на основании данных машинного обучения. | С помощью механизма Overflow Mechanism, который используется для фильтрации «шума» — ложноположительных срабатываний, малозначимых предупреждений. | Да, ручное и автоматическое с механизмом «обучения». |
| 2.4.8. Корреляция и дедупликация инцидентов | Нет. | Да, дедупликация вручную, в рамках работы плейбука (3 предустановленных плейбука, включая плейбук с машинным обучением), с помощью скриптов, правил пре-процессинга и таблицы дублирующихся инцидентов (Dropped Duplicate Incidents). Корреляция инцидентов по индикаторам, по типам инцидентов. | Да, обработка входящего потока и маппинг свойств входящих событий на свойства платформы Siemplify осуществляется через встроенный механизм Data Processing Engine (DPE).
Корреляция событий ИБ осуществляется механизмом Alert Grouping для объединения поступающих в систему событий ИБ в кейсы путем анализа временных характеристик и свойств событий. |
Да, обширные возможности по работе с данными, получаемыми посредством интеграций – парсинг и нормализация, очистка и валидация, фильтрация и дедупликация, корреляция. Группировка событий в единый инцидент по настраиваемым признакам. Установка взаимосвязей инцидентов по настраиваемым признакам. |
| 2.4.9. Работа с индикаторами компрометации | Да, граф визуализации инцидента с указанием связей артефактов и timeline. Взаимное связывание инцидентов, имеющих одинаковые значения артефактов определенного типа. Создание пользовательских типов артефактов. | Да, добавление индикаторов компрометации из событий ИБ, отправляемых в решение (например, от SIEM-систем). Использование интеграций для обогащения данных по индикаторам. Поддержка связывания инцидентов между собой на основании совпадающих индикаторов (например, значений хэш-сумм). Графическое отображение похожих инцидентов, например, в которых замечены одинаковые индикаторы компрометации. | Да, построение визуальных моделей (24 предустановленных моделей) и связей между источниками событий, сущностями (субъектами и объектами инцидента), индикаторами, событиями, инцидентами с помощью механизма Ontology. Визуальное отображение развития инцидента, поступающих событий, связей между субъектами и объектами инцидента. | Да, реализация полноценного процесса обработки данных по индикаторам компрометации – получение данных, анализ и обработка, проверка наличия признаков компрометации в инфраструктуре, автоматическое добавление в средства защиты, использование в процессах реагирования на инциденты. |
| 2.4.10. Построение timeline инцидента | Да, построение timeline инцидента в графах визуализации инцидентов. | Да, построение timeline инцидента в виде записей в «командном пункте» инцидента. | Да, данные по инцидентам выстраиваются в хронологическом порядке в «командном центре». Поддерживается построение визуальных timeline событий ИБ, имеющих отношение к кейсу. Возможность графического «воспроизведения» последовательности событий, имеющих отношение к кейсу. | Да. |
| 2.4.11. Опции совместной работы над инцидентом | Да, разделение интерфейса продукта на рабочие пространства (Workspace) для предоставления совместного доступа или изоляции отображаемых инцидентов для различных подразделений/отделов компании. Совместная работа может быть организована через функционал задач (Tasks), в которых, в зависимости от значений свойств карточки инцидента, аналитикам ставится та или иная задача, контролируется процесс ее решения. Задачи могут также назначаться в зависимости от фазы инцидента. | Да, совместная работа в виртуальном пространстве «командного пункта» (War Room) инцидента. | Да, совместная работа над инцидентами ведется в едином интерфейсе «командного центра» (Command Center), в котором ведется обмен информацией между аналитиками и участниками расследования, отображается текущий статус инцидента и актуальные задачи по его обработке, временной график работы с кейсом. | Да, совместный просмотр и работа с карточками инцидентов группы аналитиков. Дополнительно в карточке доступен чат команды. |
| 2.4.12. Возможность постановки ручных задач реагирования | Да, постановка задач сотрудникам для ручного выполнения с помощью функционала Tasks. | Да, назначение задач (Tasks) сотрудникам: ручные (To Do Tasks) или являющиеся частью плейбука, с указанием времени ожидаемого выполнения. | Да, возможность задания ручных действий, требующих непосредственного вмешательства сотрудника (выбор варианта, ответ на вопрос). | Да, постановка задач сотрудникам для ручного выполнения с помощью настройки рабочего процесса реагирования. |
| 2.4.13. Функционал оповещений | Поддержка функционала оповещений через различные каналы связи путем интеграции с ПО Everbridge и путем установки приложения Slack Integration for Resilient. Доступ к мессенджеру Slack с мобильных устройств. | Оповещения через email, через мессенджер Slack, работа через приложение Cortex XSOAR Enterprise mobile app (для платформ iOS, Android) с возможностями по управлению инцидентами, просмотром дашбордов, обработкой вложений, получением и отправкой сообщений. | Оповещения внутри веб-портала в виде уведомлений, отправка уведомлений по email, отправка push-уведомлений пользователям, чье ручное действие требуется в плейбуке для продолжения реагирования. Отправка уведомлений в случае, если плейбук «завис» с ошибкой выполнения. Создание HTML-шаблонов для email-сообщений. | Поддержка настраиваемых сообщений посредством следующих каналов связи:· Звук, сирена· Лента событий· E-mail· SMS· Telegram Возможность настройки нового типа оповещения посредством механизма коннекторов. |
| 2.4.14. Реализация концепции ChatOps | Реализация концепции ChatOps путем установки приложения Slack Integration for Resilient. | Концепция ChatOps реализована через интеграцию решения XSOAR с мессенджером Slack через функционал DBot, что позволяет анализировать индикаторы и артефакты из единого интерфейса, доступного для различных платформ, в том числе мобильных. Чаты по инцидентам для совместной работы аналитиков в «командном пункте». | Нет. | Частично через функционал чатов по заявкам. |
| 2.4.15. Чаты по инцидентам | Функционал ввода пользовательских данных в карточку инцидента при работе с ним. | Коммуникация по инцидентам реализована в «командном пункте» инцидента в виде чата. Поддержка чатов по инцидентам в мессенджере Slack и в приложении Cortex XSOAR Enterprise mobile app (для платформ iOS, Android). | Возможность «упоминания» пользователя или группы в кейсе с автоматической отправкой оповещения. Возможность отправить сообщение члену команды из интерфейса просмотра кейса. Информирование команд реагирования путем размещения оповещений (Announcements), появляющихся в ленте событий всех пользователей. | Да, отдельный чат в рамках каждого инцидента. |
| 2.4.16. Поддержка создания аудиторского следа (audit trail) | Нет. | Запись всех действий по инциденту в рамках виртуального «командного пункта», создаваемого для каждого инцидента. Запись действий, произведенных администраторами в системе XSOAR, отправка на внешний syslog-сервер. | Хранение закрытых кейсов в соответствии с установленным временным периодом (retention period) хранения данных. | Да, ведение журнала всех изменений по инциденту. |
| 2.4.17. Поддержка матрицы MITRE ATT&CK | Нет. | Да, поддержка матрицы MITRE ATT&CK, связывание индикаторов компрометации с TTPs. | Нет. | Да, поддержка матрицы MITRE ATT&CK в модуле Расследования. |
| 2.4.18. Ведение базы знаний решенных инцидентов | Возможность указывать инструкции и рекомендации в задачах по реагированию (в свойстве Instructions). Ведение внутренней Resilient Wiki с указанием важной информации, инструкций, справочной информации, с разграничением прав доступа (просмотр и создание/изменение/удаление) на основе ролей. | Анализ решенных инцидентов с применением методов машинного обучения для выдачи рекомендаций и классификации новых инцидентов. | Создание базы знаний о событиях и кейсах в системе, учет связей между источниками событий, сущностями (субъектами и объектами инцидента), индикаторами, событиями, инцидентами с помощью механизма Ontology путем построения моделей данных. Построенная модель данных позволяет автоматически обрабатывать новые входные данные и выполнять соответствующие автоматические действия реагирования (Actions). | Да, при помощи функционала «Базы знаний/решений», в которой накапливается и анализируется информация по ранее решенным инцидентам. Возможность поиска наиболее подходящего решения на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом «обучения с учителем» (при использовании совместно с модулем BigData).
|
| 2.5. Реагирование на киберинциденты | ||||
| 2.5.1. Выполнение типов действий по реагированию | Поддержка ручных и автоматических действий по реагированию в рамках рабочего процесса: ручные действия (функционал Menu Item) подразумевают нажатие определенной интерактивной кнопки в выпадающем меню действий, автоматические действия выполняются при удовлетворении определенных условий без взаимодействия с пользователем. | Реагирование в плейбуках и задачах с помощью выполнения ручных и автоматических действий (скриптов). | Реагирование в плейбуках с помощью выполнения автоматических действий (Actions) и ручных операций. | Автоматизация реагирования на инциденты с помощью выполнения скриптов и действий по инцидентам, настраиваемых через функционал «Рабочих процессов». Возможность выполнить ручные действия на интегрированных системах. Возможность выполнения действий через коннектор реагирования, в котором поддерживаются следующие протоколы и механизмы:· Apache Kafka· DNS· HTTP· HTTPS· IBM MQ· IMAP· POP3· PowerShell· RPC· REST· SMTP· SNMP· SOAP· SSH· SSL· TLS· WMI· механизм подключения к Microsoft SQL· механизм подключения к MySQL· механизм подключения к Oracle· механизм подключения к PostgreSQL· механизм подключения к Active Directory· механизм подключения к Exchange. |
| 2.5.2. Логика выполнения действий по реагированию | Поддержка выполнения действий при наступлении заранее описанных логических условий. Условие может включать в себя поле, математическое выражение или значение, рассчитанное в том числе с помощью Python-скриптов. Условия могут быть объединены с помощью логических И/ИЛИ. Действия могут быть также выполнены при условии получения определенных данных от подключенных систем. | Реагирование при выполнении логических условий, с запросом пользователей (в том числе через заполнение опросника). | Реагирование (запуск плейбуков) путем исполнения предопределенного набора действий, применяемых при выполнении триггеров и логических условий для каждого из типов событий. | Выполнение действий по реагированию в рамках сценария реагирования в зависимости от выполнения логических условий (соответствие значений полей инцидента заданным критериям) с возможностью построения сложных условий через операторы И/ИЛИ. Выполнение действий по инициативе пользователя. Запуск действий в определенное время, с определенной периодичностью. |
| 2.5.3. Создание пользовательских действий по реагированию | Возможность добавления собственных действий по реагированию предоставляется с помощью создания Python-скриптов (поддерживаются версии Python 2.7 и 3.6), которые позволяют получать доступ к данным инцидентов и выполнять сложные действия на подключенных системах. | Создание скриптов автоматизации на JavaScript, Python, PowerShell, которые запускаются при выполнении задач (Tasks), используемых в плейбуках и при выполнении команд в «командном пункте» (War Room). Скрипты могут получать доступ к объектам внутри решения, использовать внутренние API, получать и обрабатывать данные. Поддерживается защита скриптов с помощью паролей. | Выполнение настраиваемых действий (Actions) с выполнением Python-скриптов. | Возможность выполнения следующих типов действий:· Изменение атрибутов/ свойств инцидента (включая назначение группы обработки и/или ответственного)· Создание новых объектов системы (задач по обработке, дополнительных действий и т.д.)· Изменение атрибутов связанных объектов (активов, уязвимостей, задач и т.д.)· Уведомление по email· Вызов коннектора — скриптов на Windows cmd, Powershell, WMI, Linux Shell, Python, Java, JavaScript, Bash. |
| 2.5.4. Инструменты создания пользовательских сценариев | Предоставляется Resilient Python SDK (включает в себя две библиотеки для Python версий 2.7 и 3.6) и фреймворк Resilient Circuits Integration, основанный на Python, для создания пользовательских функций и действий. | Нет. | Создание действий (Actions) через встроенную среду IDE на Python 2.7. Просмотр, правка исходного кода коммерческих действий, а также импорт, экспорт, управление ими в среде IDE. Подсветка синтаксиса Python 2.7, возможность добавлять библиотеки через Python PIP. Контроль версий, история версий, возможность отката к предыдущей версии. | Графический конструктор рабочих процессов и коннекторов. |
| 2.5.5. Доступ к изолированным сегментам сетей | Нет. | Работа с изолированными сетевыми сегментами через механизм «движков» — серверов на Linux/Windows с установленным компонентом Cortex XSOAR Engine, которые получают события ИБ и выполняют команды интеграций в изолированных сегментах, отправляя данные на центральный сервер решения. | Выполнение действий по реагированию на удаленных площадках с помощью кросс-платформенных (Windows, Linux) агентов, представляющих собой Python-приложение, устанавливаемое как on-prem, так и в облачной среде (с поддержкой запуска из Docker-контейнера). Агент взаимодействует с прокси-сервером (Publisher) по HTTPS для получения новых команд и отправки собранных данных. | Да, с помощью установки распределенных компонент. |
| 2.6. Механизмы машинного обучения | ||||
| 2.6.1. Применение механизмов машинного обучения | Да, поддержка методов машинного обучения (путем установки приложения) с выбором алгоритмов и настройкой моделей для прогнозирования значений полей карточек инцидентов, включая рекомендации по назначению наиболее подходящего аналитика, категоризации и приоритизации инцидентов. | Да, использование механизмов машинного обучения для анализа разрешенных инцидентов и автоматической классификации новых инцидентов, закрытия ложноположительных инцидентов, использования скоринговой модели для оценки уровня опасности инцидента. Анализ репутации индикаторов и артефактов с помощью функционала DBot, использующего машинное обучение. Использование скоринговой модели оценки опасности и достоверности индикатора на основании данных машинного обучения. Рекомендации по назначению наиболее подходящего аналитика на тот или иной инцидент. | Нет. | Да, поддержка принятия решений по реагированию на основе нейронной сети с динамическими весовыми коэффициентами и с механизмом «обучения с учителем».
Модуль семантического анализа инцидентов, содержащий модель машинного обучения и выполненный с возможностью автоматического определения и выполнения команд реагирования на инциденты кибербезопасности. Использование алгоритмов машинного обучения для выявления аномалий обеспечивает автоматическое создание инцидентов c возможностью автоматического определения команд реагирования на инцидент.
|
| 2.6.2. Возможность загрузки пользовательских моделей машинного обучения | Да, настройка загружаемых моделей. | Да, поддержка модели «Обучение с учителем», возможность создания пользовательских ML-моделей. | Нет. | Да. |
| 2.7. Визуализация данных, отчетность по инцидентам | ||||
| 2.7.1. Визуализация данных по инцидентам | Дашборды Activity Dashboard для всех пользователей с новостями по инцидентам (News Feed), списком назначенных пользователю задач. Аналитические дашборды (Analytics Dashboard) с диаграммами и графиками данных по инцидентам. Просмотр данных в табличном и графическом виде. Экспорт данных в CSV, сохранение графиков в форматах JPG, PNG, SVG. Создание пользовательских графиков и диаграмм (столбчатые, круговые), отображение произвольных данных в таблицах. Построение временных графиков обработки инцидентов (отображение времени, затраченного на обработку каждой фазы инцидента) с функцией Time Tracker. | Визуализация данных в полностью настраиваемых дашбордах и виджетах, представление информации и инцидентов в виде диаграмм, графиков, таблиц, текста. Визуализация выполнения SLA, поле в карточке для учета параметров SLA и отправки уведомления в случае их нарушения, вывод отчетов в формате CSV с указанием SLA-метрик. Создание пользовательских дашбордов и виджетов, возможность расшарить дашборды с учетом ролевой модели доступа. Создание виджетов с помощью JSON-файлов и скриптов (JavaScript, Python, PowerShell), на основе поискового запроса к списку инцидентов. Графическая визуализация инцидентов и индикаторов с отображением взаимосвязей. | Визуализация данных по инцидентам в дашбордах с отображением описания инцидента, рисков, ожидаемого ущерба, временных меток для задач реагирования, графика изменения уровня опасности инцидента. Дашборды кастомизируются в ограниченном объеме — можно добавить лишь некоторые предопределенные элементы. В дашбордах можно разместить кастомизируемые виджеты (не более 12) с отображением диаграмм, графиков, таблиц. Поддерживается расшаривание дашбордов и сохранение данных дашборда в отчете. Отображение статистики, графиков работы и метрик эффективности для каждого плейбука через дашборд или из свойств самого плейбука. | Встроенный конструктор отчетов и дашбордов для использования любых данных и тонкой настройки отображаемой информации.
Экспорт графических представлений в форматы pdf, jpg, png.
Импорт графических представлений из форматов jpg, png.
Во всех графических представлениях предусмотрен поиск по объектам, функционал Drill-Down, быстрый переход к связанным объектам (активам, инцидентам).
Графические представления (виджеты) с поддержкой интерактивного взаимодействия для формирования дашбордов любого состава и конфигурации.
Предустановленные типы отображения данных для виджетов:
Предустановленные панели визуализации:
Географическая карта с визуализацией зданий, населенных пунктов, планеты. Отображение характеристик, взаимосвязей, взаимодействий между объектами, включая активы и инциденты, с отображением доступности устройств и сервисов. |
| 2.7.2. Отчетность по инцидентам | Экспорт отчетов по инцидентам в формат Excel, создание пользовательских шаблонов отчетов. | Экспорт данных инцидента в CSV-файл, возможность создать отчет из интерфейса просмотра инцидента. Отчетность с предоставлением статистической информации за определенный временной период, с экспортом в форматы PDF, DOC, CSV. Возможность задать внешний вид отчета и перечень секций с данными, добавить виджет в отчет, запланировать выпуск отчета, отправить по email, выпустить отчет из карточки инцидента. Расчет и визуализация ROI продукта XSOAR на основе данных о времени аналитиков, сэкономленном с помощью автоматизации. | Поддерживается экспорт отчетов по инцидентам в формате DOC, экспорт плейбуков в форматы CSV, PDF, в графический формат. Экспорт отчетов по работе системы (действия пользователей, история подключений) в CSV. Назначение временных SLA-метрик для кейсов с отображением статистики по реагированию. Создание отчета (в формате DOC) по показателю ROI (Return on investment, возврат инвестиций) для решения. Создание отчетов (в форматах PDF, DOC) по эффективности работы SOC-Центра, анализ работы сотрудников, анализ метрик обработки кейсов, с возможностью запланировать выпуск отчетов и с опцией создания пользовательских отчетов с включением графических элементов. | Встроенный конструктор отчетов и дашбордов для использования любых данных и тонкой настройки отображаемой информации. Создание отчетов по произвольным данным, получаемым путем создания SQL-запросов к БД.
Полная настройка под нужды заказчика. Экспорт отчетов в форматах xlsx, docx, pdf, xml, csv. Создание отчетов по расписанию и вручную, доставка по email/в файл/по API в форматах xml, pdf, doc, xls, ppt.
Возможность подготовки отчёта по определенному шаблону из карточки инцидента.
Возможность построения сводных отчетов по параметрам справочников/ перечней, использования аналитических и прогнозных инструментов анализа данных с графическим отображением, интеграции с внешними системами визуализации.
Предустановленные отчеты. |
| 2.7.3 Возможность дополнительной пользовательской аналитики данных. | Нет, частично в рамках поисковых запросов. | Да, использование поисковых запросов дает возможность сложной аналитики и повторного использования полученных данных в дашбордах. | Нет, частично в рамках поисковых запросов. | Да, операции с данными, сложные поиски, группировки и представления доступны в модуле «Аналитика». |
| 2.8. Справочники, базы нормативных актов | ||||
| 2.8.1. Создание и использование справочников | Да, возможность создания пользовательских справочников. | Да, использование пользовательских справочников (Lists) с хранением текстовых данных, JSON-объектов и файлов, доступных для использования в автоматизациях, плейбуках, скриптах, «командных центрах». | Да, ведение пользовательских списков (Custom Lists) с занесением в них произвольных текстовых данных и использованием записей в качестве триггеров для плейбуков. | Да, возможность создания пользовательских справочников для использования во всех модулях решения, включая управление инцидентами. |
| 2.8.2. Использование базы нормативных актов (интегрированные возможности SGRC/auto-SGRC) | Частично. Выполнение законодательных требований при утечке персональных данных реализовано в модуле Privacy add-on. В базу нормативных актов внесено более 170 международных, государственных, локальных нормативных требований (GDPR, HIPAA, CCPA и т.д.), включая нормативные положения всех штатов США. В модуле указываются юрисдикция компании и тип данных, которые она обрабатывает; на основе этого осуществляется автоматическое выполнение некоторых действий, предписанных законодательством. | Нет. | Нет. | Да, предустановленные нормативные акты: 187-ФЗ, 152-ФЗ, GDPR, НПА ФСТЭК России (Приказы №№17, 21, 31, 235, 239), PCI DSS (3.1, 3.2), SWIFT’s Customer Security Programme, SWIFT CSCF 2020, ISO 27001, ГОСТ Р ИСО/МЭК 27001-2006, 382-П, 672-П, 683-П, 684-П, 716-П, СТО БР ИББС-1.0-2014, ГОСТ Р 57580.
Автоматическая корректировка настроек средств и систем |
| 2.9. Опции для MSSP-провайдеров | ||||
| 2.9.1. Поддержка MSSP-провайдеров | Да, поддержка MSSP-провайдеров реализована в модуле MSSP add-on. | Да, расширенная поддержка режима Multitenancy. | Да, продвинутая поддержка Multitenancy для MSSP-провайдеров и коммерческих SOC-Центров. | Да. |
| 2.9.2. Разделение данных для тенантов | Разделение рабочих процессов реагирования для разных клиентов осуществляется через функционал построения иерархии организаций с различными независимыми плейбуками. Создание глобальных объектов (дашборды, плейбуки) для контроля инфраструктур заказчиков. | Полная изоляция данных между тенантами. Возможность распространения на тенанты создаваемых централизованно плейбуков, скриптов автоматизации, интеграций, виджетов, дашбордов. Возможность обмена индикаторами компрометации между тенантами.
Для каждого тенанта поддерживается выделенный контроль SLA-метрик, отчетность, отправка уведомлений, выполнение скриптов автоматизации в случае нарушения SLA-метрик. |
Поддержка функционала «мульти-среды» (multi-environments) для обработки инцидентов нескольких клиентов/компаний ( «сред») одновременно. Предоставление доступа к «командному центру» только для определенных «сред». Запуск и предоставление доступа к элементам решения (кейсы, дашборды, плейбуки, событий, сущности и т.д.) на основании их принадлежности к определенной «среде». Предоставление ролевой модели разграничения доступа к «средам» для пользователей и API-токенов (API keys). Установка временного периода (retention period) хранения данных по закрытым кейсам для «сред». Назначение своих SLA-метрик для каждой из «сред». Установка прав доступа для API-токенов (API keys) для каждой из «сред». | Да, с поддержкой гранулярного разграничения доступа для MSSP, включая возможность физического разделения данных. |
Тенденции:
Функциональные возможности IRP/SOAR-систем демонстрируют основные тенденции современных способов автоматизации процессов реагирования на киберинциденты: интеграция с большим количеством разнородных систем для обогащения и контекстуализации данных об инцидентах и автоматизированного устранения и локализации угроз, отражение логики процессов реагирования в виде графических плейбуков, возможность создания пользовательских сценариев реагирования, предоставление инструментов совместной работы аналитиков ИБ (в виде единого интерфейса и реализации концепции ChatOps), взаимодействие с системами управления данными киберразведки, построение хронологии инцидента с документированием и сбором форензик-данных, визуализация обработанных данных в дашбордах, виджетах, отчетах. Находят свое применение и системы машинного обучения, искусственного интеллекта, анализа Big Data: с их помощью аналитикам ИБ даются подсказки о наиболее подходящих способах реагирования, предлагаются варианты дальнейших действий, анализируются тренды, на кейсы назначаются наиболее подходящие по опыту сотрудники.
Интеграции:
Основным инструментом, без которого не может обойтись ни одна современная SOAR система, является модуль интеграций. Все решения обладают достаточно неплохим количеством готовых коннекторов из коробки. Но стоит отметить, что некоторые из отечественных и западных решений обладают встроенными средствами разработки собственных коннекторов по принципу Low-code, что существенно упрощает конечным пользователям осуществление самостоятельных интеграций с различными внешними системами. Также важна возможность кастомизации и гибкость для встраивания в сложную архитектуру ИТ/ИБ решений. Производители часто меняет интерфейсы взаимодействия, и возможность на лету внести нужные коррективы, не ожидая ответа от SOAR вендора, также является ключевым фактором при выборе решения.
Информационные системы не всегда готовы к внешним интеграциям из коробки. В некоторых ситуациях получение данных становится многоитерационным, разнесённым по времени процессом по генерации токена аутентификации, запросу на получение, ожиданию успешного выполнения запроса и, наконец, получению искомой информации. В случае реализации в компании таких решений, как Privilege Access Management Vault, эта возможность становится просто необходимой. Из рассмотренных продуктов подобной возможность обладают long live containers от Palo Alto и Security Vision, дающие возможность создания нескольких взаимосвязанных шагов и инструментарий обогащения получаемых из отчета данных «на лету», когда каждый из получаемых элементов отчета снабжается дополнительными данными из смежного элемента.
Инвентаризация ИТ активов является важным компонентом, интегрированным в российские решения в отличие от зарубежных. Зарубежные решения решают задачи инвентаризации в основном за счет интеграции со смежными решениями в том числе Asset Management. Для выгрузки и работы с Active Directory большинство вендоров используют собственные разработки и безопасные методы. При этом использование заимствованных скриптов для выгрузки данных (типа pyldap и ldapdomaindump) и взаимодействия с системами на платформе MS Windows (типа python impacket) не являются лучшими практиками в информационной безопасности и несут угрозы для Заказчиков, использующих решение.
Работа с инцидентами:
От того, на сколько удобно, информативно и интуитивно понятно будет сформирована карточка инцидента или другого объекта в системе, во многом зависит скорость обработки и, в конечном счете, ее качество. Очевидно, что карточка, регистрирующая DDoS атаку, должна сильно отличаться от карточки, сообщающей о потенциальной компрометации учетной записи администратора. Конструкторы Incident Layouts от IBM и Редактор представления от Security Vision дают возможность создавать пользовательские шаблоны инцидентов для наиболее эффективного управления вниманием SOC-аналитика.
Визуализация и отчетность:
SOAR призван стать единой витриной для консолидации данных об эффективности процессов SOC. Функциональность модуля поиска, аналитики, представления данных, а также подготовки отчетов в этом случае приобретает особое значение. И важно даже не количество предустановленных шаблонных представлений, функционал которых действующее подразделение ИБ быстро «перерастает». Важна возможность тиражирования аналитических пользовательских представлений внутри платформы. В противном случае метрики эффективности, согласованные с руководством, придется высчитывать, создавая сложные запросы напрямую к базе SOAR-решения, или, по старинке, в Excel. Аналитический инструментарий продукта Palo Alto и модуль «Аналитика» в Security Vision дают возможность любого подсчета и представления данных.
Специфика российского рынка:
Зарубежные решения отличаются большей открытостью: есть маркетплейсы для скачивания готовых плейбуков, плагинов и интеграций, функционируют порталы для разработчиков с технической документацией и возможностью поделиться своими наработками с сообществом, поддерживаются GitHub-репозитории для свободного доступа к ним энтузиастов кибербезопасности, предоставляются бесплатные Community Editions коммерческих продуктов.
У отечественных же решений присутствуют иные очевидные преимущества: база знаний с российскими нормативными требованиями, взаимодействие с системами ФинЦЕРТ и ГосСОПКА, интеграция с отечественными ИБ-решениями, широкая экспертиза в вопросах обеспечения соответствия законодательству и противостояния специфическим киберугрозам. В IRP/SOAR-платформе Security Vision широко применяются машинное обучение, искусственный интеллект и BigData, например, для предложения наиболее подходящего действия реагирования, анализа инцидентов и назначения оптимальной команды реагирования, для автоматического создания инцидентов в случае обнаружения аномалий. Модули Security Vision могут работать на одной платформе. В решении Security Vision применяется интересный механизм auto-SGRC для автоматической корректировки настроек ИТ/ИБ-систем для соответствия внутренним нормативным требованиям и возврата к baseline-настройкам.