Грачева Ю.В., Вайц В.Л., Рудик К.П.
- Вступление
- Обзор бесплатных платформ реагирования на киберинциденты и тикетинг-систем
- Обзор зарубежных SOAR-платформ
- Обзор российских SOAR-платформ
- Заключение
1. Вступление
Цифровая трансформация экономики и переход в онлайн бизнес-процессов, особенно в связи с пандемией и удаленной работой, повлекли за собой эволюцию не только информационных систем и инфраструктур, но и непрерывно усложняющихся и видоизменяющихся киберугроз, и, как следствие, бросили новые вызовы индустрии кибербезопасности. Ответственные за информационную безопасность перестали выступать «на вторых ролях», ведь от киберустойчивости систем и сервисов напрямую стали зависеть выручка компании, её репутация и положение на рынке. Подчас даже само существование бизнеса может быть поставлено под угрозу успешно реализованной кибератакой — будь то утечка клиентских данных, компрометация программного продукта или заражение вирусом-шифровальщиком.
Современные киберугрозы оставляют все меньше времени для реагирования на инциденты: серьезные атаки со значительным ущербом могут быть совершены в течение буквально считанных минут с момента первичного проникновения в компьютерную сеть организации. При этом сотрудники подразделений информационной безопасности перегружены и находятся в состоянии практически непрекращающегося цейтнота: количество, опасность и изощренность кибератак усугубляются хроническим кадровым дефицитом и спецификой деятельности, требующей постоянной сосредоточенности, а также непрерывно увеличивающимся объемом информации, которую необходимо получать и обрабатывать для актуализации собственных знаний о современных способах и методах нападения. Всем известные события 2020 года только ускорили данный тренд: стресс-факторов и кибератак стало еще больше, ответственность — выше, а особенности удаленной работы внесли свои коррективы в эффективность коммуникации. В SOC-Центрах стабильно наблюдается существенная текучка, особенно на L1 — устав от выполнения рутинных операций и получив необходимые навыки, аналитики стремятся перейти на более высокие уровни с более разнообразными задачами и повышенной материальной компенсацией, таким образом создавая вполне объяснимую ротацию кадров. Разнообразие средств защиты лишь «подливает масла в огонь»: регулярно выпускаются всё новые, функционально насыщенные и сложные для восприятия продукты, в каждом из которых свой интерфейс, свой функционал и свои особенности.
Логичным ответом на данные обстоятельства стала автоматизация рутинных и легко программируемых действий по реагированию. Напомним, что в соответствии со стандартом (специальной публикацией) NIST Special Publication 800-61 rev.2 «Computer Security Incident Handling» («Руководство по обработке инцидентов компьютерной безопасности») реагирование на киберинциденты заключается в поэтапном выполнении связанных процессов: подготовка к отражению инцидента, обнаружение и анализ инцидента, затем сдерживание, устранение и восстановление после инцидента, а также выполнение действий после реагирования (post-incident activity) с анализом «выученного урока», корректировкой планов реагирования, перенастройкой СЗИ.
Итак, для снижения нагрузки на аналитиков ИБ было решено роботизировать часть действий по обработке киберинцидентов — например, поиск и сбор дополнительной информации о затронутом инцидентом активе, поиск индикаторов компрометации (IoC — Indicator of Compromise) и данных о тактиках, техниках, процедурах (TTPs – Tactics, Techniques, Procedures) атакующих в платформах киберразведки (TIP — threat intelligence platform), первичный триаж (классификацию) и анализ инцидентов, а также отсеивание явных ложноположительных срабатываний. Автоматизация данных действий позволила бы существенно сократить такой KPI реагирования на киберинциденты, как MTTD — mean time to detect, среднее время детектирования (обнаружения) инцидента. Далее встал вопрос о том, каким образом можно уменьшить показатели еще одной метрики, MTTR — mean time to respond, среднее время реагирования на инцидент. Реагирование подразумевает некое активное действие, направленное на локализацию, сдерживание, устранение угрозы и на возврат информационной системы в состояние «до начала атаки».
Ответом на этот вызов стало создание такого класса продуктов, как IRP — Incident Response Platform, платформа реагирования на киберинциденты. Данный класс решений предполагает как автоматизацию действий по анализу инцидентов ИБ и сбору дополнительной информации (для снижения MTTD), так и интеграцию с разнообразными ИТ/ИБ-продуктами для выполнения автоматических или автоматизированных действий по реагированию (для снижения MTTR), например, путем блокировки IP-адреса атакующего на сетевом оборудовании, изоляции атакованного хоста от сети, завершения подозрительных процессов и остановки служб, удаления непрочитанных фишинговых сообщений с почтового сервера, восстановления работоспособности СЗИ на атакованных конечных точках и т.д. Основными задачами решений класса IRP являются, во-первых, автоматизация обработки киберинцидентов с помощью программируемых рабочих процессов (workflow) или сценариев реагирования (playbook-скриптов), которые описывают порядок действий по реагированию, в том числе путем отправки управляющих команд на СЗИ для активного противодействия угрозе (этапы сдерживания и устранения инцидента), и, во-вторых, предоставление средств совместной работы над инцидентом аналитикам ИБ.
Как видим, часть задач по автоматизации и ускорению реагированию на инциденты IRP-платформы действительно решают. Но производители средств защиты решили пойти дальше и объединить решения по автоматизации ответных действий на инциденты в системах класса SOAR — Security Orchestration, Automation and Response платформах оркестрации, автоматизации и реагирования на киберинциденты. В SOAR-платформах интегрированы механизмы по обработке событий ИБ (получаемых, как правило, из систем SIEM или Log Management), автоматизации действий по обработке данных событий в соответствии с рабочими процессами и плейбуками, а также механизмы осуществления действий по реагированию благодаря централизованному управлению (оркестрации) ИТ/ИБ-системами (ОС, ПО, СЗИ). Дополнительно в SOAR-решениях присутствуют опции кейс-менеджмента для совместной работы группы аналитиков над инцидентами, возможности обработки данных киберразведки (благодаря интеграции с поставщиками данных киберразведки, или Threat Intelligence feeds, TI-фидами), а также механизмы визуализации, отчетности, аналитики, логирования выполненных действий по реагированию, ведения базы знаний. Опционально могут присутствовать возможности обработки Big Data, механизмы машинного обучения и искусственного интеллекта для автоматизации действий и помощи в принятии решений при реагировании. Грубо говоря, мы можем вывести логическую формулу: SOAR = IRP + TIP + XDR, где TIP — threat intelligence platform, платформа управления данными киберразведки, XDR — extended detection and response, платформа расширенного обнаружения и реагирования на киберинциденты.
Пример сценария использования (Use case) SOAR-платформы: просканировать входящее сообщение электронной почты (интеграция с почтовым сервером, например, Microsoft Exchange) на наличие вредоносных URL-ссылок или хэшей вложений (интеграция с системами киберразведки, например, VirusTotal или URLScan), проанализировать данные событий ИБ с межсетевого экрана (интеграция с сетевым оборудованием, например, CheckPoint) для поиска трафика с/на подозрительные IP-адреса, далее отправить уведомления аналитикам ИБ (интеграция с мессенджерами, например, Slack) и заблокировать вредоносные IP-адреса и URL-ссылки на межсетевом экране. Можно также предположить сценарий, в котором SOAR-система осуществляет взаимодействие с конечным устройством через интеграцию с EDR-решением (например, Kaspersky EDR) для активного сдерживания угрозы (например, сетевая изоляция хоста, остановка подозрительных процессов/сервисов) или для сбора сведений для форензик-исследования (timeline — временная шкала работы устройства, дампы памяти, список запущенных процессов, сетевых подключений). Еще один сценарий использования SOAR-решения: анализ данных системы сканирования на наличие уязвимостей (например, MaxPatrol), оценка сетевой доступности и эксплуатируемости уязвимости на определенном устройстве (например, через Infoblox) и создание задачи на установку обновлений для ИТ-подразделения (например, через Atlassian JIRA).
Однако, в последнее время наметился новый тренд: решения класса NG-SIEM (Next Generation SIEM) объединяют в себе функционал SIEM-систем, UEBA-модулей (user and entity behavior analytics, поведенческий анализ пользователей и сущностей), а также SOAR-платформ. При этом многие вендоры позиционируют свой NG-SIEM как легко масштабируемое облачное решение, с коннекторами к облачной и локальной (on-prem) инфраструктурам заказчиков для получения событий ИБ и реагирования на инциденты. Стремление вендоров объединить решения, выполняющие сходные функции, вполне объяснимо, однако при таком подходе СУИБ (система управления информационной безопасностью) заказчика оказывается практически в полной зависимости от одного продукта одного вендора. Выход данной системы из строя грозит обернуться крупными проблемами: несоответствием законодательству в части сбора логов, невозможностью оперативного реагирования на инциденты, неконтролируемостью инфраструктуры. Таким образом, заказчики уже в скором времени столкнутся с дилеммой: либо выбирать отдельные решения (например, SOAR + SIEM или SIEM + IRP) специализированных вендоров, которые декларируют гладкую интеграцию со сторонними СЗИ, либо комплексные решения, принимая все связанные риски.
В нашем текущем анализе SOAR-решений будут как специализированные производители SOAR, так и разработчики комплексных систем, которые начинали, как правило, с систем SIEM. Мы постараемся описать такие значимые для потребителей SOAR-платформ функции и опции, как возможность интеграции со сторонними ИТ/ИБ-решениями, которые уже используются в инфраструктуре заказчиков, простота и гибкость создания плейбуков, широта возможностей автоматизации реагирования и наличие механизмов создания кастомных модулей реагирования, опции совместной работы команды аналитиков над инцидентами (кейсами), возможности визуализации (включая отображение метрик эффективности процессов СУИБ), отчетность, аналитика, поддержка Big Data, систем машинного обучения и искусственного интеллекта. Будут учитываться и положение компании на рынке ИБ, и системные/архитектурные требования и особенности, и поддержка Multitenancy, т.е. возможности размещения на одной платформе нескольких инсталляций для различных заказчиков услуг MSSP-провайдеров (Managed Security Service Provider, провайдер услуг по обеспечению кибербезопасности) и MDR-провайдеров (Managed Detection and Response, услуги по обнаружению и реагированию на киберинциденты).
На некоторых Интернет-ресурсах к системам реагирования на киберинциденты зачастую причисляют и системы автоматизации бизнес-процессов и ИТ-процессов. Например:
- Ayehu NG (eyeShare) — платформа автоматизации и оркестрации ИТ-процессов
- CyberBit SOC 3D — ушедшее с рынка IRP-решение; сейчас компания CyberBit занимается платформой для обучения специалистов SOC-Центров (тренинги, симуляции атак, виртуальные лаборатории)
- Resolve Actions — система ИТ-автоматизации
- Tufin Orchestration Suite — решение для централизованного управления сетевыми устройствами
- Ubiqube — платформа для комплексной автоматизации бизнес-процессов
- Zenduty — решение для управления инцидентами для DevOps и ИТ-подразделений
Интересной комплексной платформой, наряду с Microsoft Azure Sentinel, является аналитическая система Google Chronicle Backstory, которая работает в Google Cloud и обеспечивает сбор и анализ логов Google Cloud, корреляцию событий и просмотр графов связей инцидентов, а также обнаружение угроз через свой дочерний сервис VirusTotal и совместную работу с командой киберразведки Uppercase. Однако, такие комплексные решения, как Microsoft Azure Sentinel и Google Chronicle Backstory, очевидно, идут «вне зачета» в нашем анализе, поскольку их использование предполагает работу только в масштабных экосистемах Microsoft или Google соответственно.
2. Анализ бесплатных платформ реагирования на киберинциденты и тикетинг-систем
Анализ SOAR-платформ мы всё же начнем не с коммерческих SOAR-систем, а с бесплатных OpenSource платформ реагирования на инциденты и тикетинг-систем. Они не смогут полностью заменить полноценные IRP/SOAR-платформы, но всё же окажут помощь аналитикам и специалистам по ИБ в некрупных компаниях, которые не сталкиваются с большим количеством инцидентов. Продукты даны в алфавитном порядке.
2.1. Cyphon
Разработчик: компания ControlScan, Inc. из США, которая оказывает SMB-сегменту услуги по кибербезопасности с использованием облачных решений и платформ, а также по обеспечению соответствия законодательству, в частности, PCI DSS. В конце 2020 г. ирландская компания Sysnet Global Solutions объявила о покупке MCS-подразделения (Managed Compliance Solutions) компании ControlScan.
Проект The Cyphon Project — Open Source платформа реагирования и управления инцидентами ИБ. Решение распространяется в соответствии с некоммерческой проприетарной пользовательской лицензией. Ядро системы (Cyphon Engine) распространяется по лицензии GNU GPLv3. Актуальная версия на текущий момент: 1.6.7. Дистрибутив доступен в виде Docker-контейнера, в виде образа для VMware, VirtualBox, а также доступен для скачивания с GitHub. Документация также доступна.
Проект представляет из себя модульное решение, состоящее из ядра Cyphon Engine и веб-фронтенда Cyclops, помогающего управлять данными и предупреждениями Cyphon в режиме реального времени. Бэкенд проекта построен на веб-фреймворке Django.
Внутри проекта Cyphon используются следующие компоненты: PostgreSQL, RabbitMQ, Logstash, Elasticsearch и/или MongoDB, Nginx or Apache
Системные требования:
- 2 ЦПУ
- 8 ГБ ОЗУ
- 20 Гб дисковой подсистемы
Cyphon обладает следующим функционалом:
- Сбор информации из следующих источников: электронная почта (через Django Mailbox по протоколу IMAP), логи ИТ-систем, географические сервисы, социальные сети (например, Twitter)
- Создание предупреждений
- Реагирование в виде просмотра событий, аннотации инцидентов, интеграции с системой JIRA (создание тикета в Service Desk)
- Поддержка REST API-запросов для взаимодействия с ИТ/ИБ-системами и для получения данных, например, из веб-сервисов
- Получение логов с конечных точек с помощью агента Filebeat (для ОС Debian, RedHat, MacOS, Windows) с последующей отправкой в Cyphon (в Logstash и затем в RabbitMQ)
- Механизм управления пользователями и группами почти полностью копирует таковой в веб-фреймворке Django.
После получения данных делается парсинг поступающих событий, маппинг свойств входящих данных на свойства будущих инцидентов, сохранение и индексирование по выбранным свойствам. Добавим, что весь процесс обработки входящего потока событий гибко настраивается вплоть до выбора мест хранения информации. После сбора и первичной обработки данных осуществляются анализ и обогащение полученных событий: к содержимому применяются правила regex-поиска интересующих ключевых слов или метаданных для генерации алертов, для входящего потока информации могут применяться и методы семантического анализа информации (например, для определения тональности поста в социальной сети). Сгенерированные инциденты можно тэгировать, в том числе автоматически, для упрощения реагирования, а также можно быстро переходить к контексту (т.е. к событиям, относящимся к данному инциденту).
Реагирование в Cyphon на сегодняшний день ограничивается только созданием тикета в JIRA, однако разработчики могут воспользоваться функционалом взаимодействия через REST API для программирования других механизмов реагирования. Уведомление администраторов о новых инцидентах осуществляется посредством Push-нотификаций или по email, а также можно реализовать взаимодействие с использованием фронтенда Cyclops.
2.2. FIR
FIR (Fast Incident Response) — платформа управления киберинцидентами, позволяющая их заводить, отслеживать, вести отчетность. Проект был создан в CERT французского банка Societe Generale. Решение не очень активно развивается в последние годы, распространяется по лицензии GNU GPLv3. Проект написан на Python, внутри решения — MySQL, uWSGI, nginx.
Для установки можно воспользоваться GitHub, есть поддержка запуска из Docker-контейнера, можно использовать облачную платформу Heroku. Документация также находится в свободном доступе.
Системные требования:
- ОС Ubuntu 14.04 и выше
- 1 ЦПУ
- 1 Гб ОЗУ
- 40 Гб дисковой подсистемы
По сути, FIR — это веб-инструмент совместной работы аналитиков при расследовании инцидента, в т.ч. форензик-исследования. Из автоматизации присутствует создание шаблонов инцидентов для ускорения заполнения информации при наступлении инцидента, а также возможность построения timeline с указанием подробностей (эти объекты в FIR называются nuggets). При этом поддерживаются автоматический поиск и экстракция артефактов (IP-адреса, имена хостов, URL, хэши, адреса электронной почты) из созданных событий с автоматической корреляцией этих IoC с ранее созданными событиями и инцидентами. В интерфейсе FIR присутствуют категории «События» и «Инциденты», где инциденты — это эскалированные события, над которыми требуется выполнить некие действия, при этом поддерживается загрузка произвольных файловых вложений к событиям и инцидентам.
Для характеризации инцидентов используются кастомизируемые атрибуты, такие как финансовые потери, длительность простоя, количество похищенных учетных данных и т.д., при этом поддерживается создание пользовательских атрибутов, а также вывод статистики и диаграмм по ним. Для отображения списка событий и инцидентов используются дашборды, представляющие собой списки элементов с определенными свойствами (дата, время, категория, уровень критичности, статус и т.д.) с возможностью гибкого поиска. Отчетность работы команд реагирования может быть визуализирована через модуль Stats, в котором формируются графики и диаграммы по результативности обработки киберинцидентов. Для расширения функционала применяются плагины, которые включают в себя в том числе и действия по реагированию, например, отправку email. Пользователи системы могут разработать и установить свои плагины к платформе.
2.3. RTIR
Продукт RTIR (Request Tracker for Incident Response), также как и «родительский» проект RT (Request Tracker), разработан и поддерживается американской компанией Best Practical Solutions LLC. Продукт распространяются бесплатно по лицензии GNU GPLv2, однако поддержка, доработка, обучение по продукту — платные. Актуальная версия: 5.0.1, выпущена в январе 2021 г.
Продукт RTIR является по сути ИБ-ориентированной надстройкой над проектом RT, который написан на Perl и представляет собой веб-приложение с email-интерфейсом для отправки и получения электронной почты внутри портала. Продукт доступен для загрузки в виде архива и устанавливается на любые дистрибутивы Linux, Mac OS X, FreeBSD, Solaris и иные Unix-подобные ОС. Для работы решению нужны интерпретатор Perl, база данных (поддерживаются MySQL, MariaDB, PostgreSQL, Oracle) и веб-сервер (поддерживаются Apache, Lighttpd, nginx или любой сервер с поддержкой FastCGI). У проекта есть wiki-страница и форум. Документация также присутствует в открытом доступе.
Особенностью проекта является единственный встроенный рабочий процесс обработки инцидента, созданный в великобританском Janet CSIRT. Входящие события поступают либо по email (есть поддержка PGP), либо заводятся вручную. В продукте используются неизменяемые поля для инцидентов, данные в которых заполняются из email или вносятся вручную. Из интерфейса решения можно отправить еmail, можно также собирать простую статистику по решенным инцидентам. Присутствует REST API для передачи данных внутри системы. По сути, решение представляет из себя баг-трекер, немного адаптированный под нужды реагирования на инциденты ИБ.
2.4. TheHive
TheHive — это свободно распространяемая платформа для реагирования на киберинциденты (Security Intelligence Response Platform), созданная группой из шести экспертов-энтузиастов ИБ, поддерживаемая ими и сообществом на GitHub. Распространяется по лицензии GNU AGPLv3 (Affero General Public License). Также предлагаются платные услуги по поддержке, установке, доработке, обучению по продукту TheHive. Актуальная версия: 4.0.5, выпущена в феврале 2021 г.
Проект написан на Python. TheHive состоит из веб-платформы для совместной работы аналитиков TheHive, аналитического модуля Cortex (написан на Scala), платформы обработки данных киберразведки MISP (использует Apache, MySQL, PHP), агрегатора TI-данных Hippocampe, API-клиента TheHive4Py. Фронтенд использует фреймворк AngularJS с Bootstrap. Для хранения данных используется ElasticSearch. Доступна документация по продукту и аналитическому модулю Cortex.
Установить продукт можно на физическую или виртуальную машину, запускать — из Docker-контейнера. Поддерживаются установка бинарного пакета, сборка из исходного кода с GitHub, установка в виде RPM и DEB-пакетов.
Системные требования:
- 8 ЦПУ
- 8 Гб ОЗУ
- 60 Гб дисковой подсистемы
Особенностью проекта является глубокая интеграция с TI-платформой MISP (Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing). MISP — модульная платформа киберразведки с открытым исходным кодом. Платформу MISP можно установить on-prem или пользоваться внешними инсталляциями. Она позволяет из полученных индикаторов компрометации создавать правила для IDS-систем Snort, Suricata, Bro/Zeek, а также конвертировать полученные данные в форматы STIX, OpenIOC, текст, CSV.
Cortex – это модуль для аналитического обогащения информации по IoCs с автоматизированным анализом объектов, возможностью создания своих анализаторов (т.е. модулей анализа, написанных на Python или любом языке программирования, поддерживаемом в Linux) и использования модулей MISP для обогащения аналитических данных, с возможностью работы через REST API. Анализаторы запрашивают информацию по поступившему на вход JSON-объекту, который содержит IoC, у различных сервисов, таких как VirusTotal, Shodan, Censys, PhishTank, UrlScan (список включает в себя более 100 сервисов), а также отправляет объект на анализ в песочницу (Cuckoo Sandbox, Joe Sandbox).
Также в Cortex есть возможность создания и настройки респондеров (Responders), т.е. модулей непосредственно реагирования, которые получают на вход JSON-объект, выполняют определенное действие при обработке киберинцидентов (например, отправляют оповещение по email или дают команду СЗИ) и возвращают результат. Респондеры могут быть написаны на Python (рекомендуется разработчиком), Ruby, Perl, Scala или любом языке программирования, поддерживаемом в Linux. Взаимодействие Cortex с другими системами ИБ осуществляется посредством REST API или через модуль Cortex4py.
Hippocampe — это агрегатор данных TI-фидов, который получает IoCs из интернета и аккумулирует их в кластере Elasticsearch, давая возможность обращаться к ним через REST API. Один из анализаторов Cortex предназначен для обращения к Hippocampe для поиска в накопленных CTI-данных. Hippocampe — это также свободное ПО, распространяется в соответствии с лицензией AGPL.
Общая схема работы TheHive такова:
- Получение данных через API из файлового каталога, из SIEM, через почту, от СЗИ, от провайдеров данных киберразведки. Для этих взаимодействий используется свой API-клиент TheHive4Py, который после парсинга входящего сообщения создает инцидент в TheHive.
- Далее в веб-интерфейсе TheHive над инцидентом работает команда аналитиков: происходят обмен информацией, назначение и обработка задач с кастомизируемыми свойствами, прикрепление файлов к задачам, просмотр метрик, вывод информации на интерактивные дашборды.
- Осуществляется получение аналитических данных из анализаторов Cortex и данных киберразведки из платформы MISP для обогащения сведений об инциденте.
- Происходит реагирование на инцидент с помощью респондеров, отправляются уведомления на месенджеры и/или по email), создаются отчеты о произошедших инцидентах.
3. Анализ зарубежных SOAR-платформ. Результаты обзора также приведены в алфавитном порядке.
3.1. ArcSight SOAR (Micro Focus)
Компания Micro Focus в 2020 купила великобританскую компанию Atar Labs — создателя SOAR-платформы ATAR (Automated Threat Analysis and Response). Актуальная версия: Micro Focus ArcSight SOAR 3.0. Данная SOAR-платформа доступна в виде контейнера для установки на сервере ArcSight Platform без взимания дополнительной платы для пользователей решений Micro Focus ArcSight ESM и Recon. В открытом доступе присутствует документация как на SOAR-решение, так и на всю платформу ArcSight Platform.
Системные требования для установки сервера ArcSight Platform:
- 4 ЦПУ
- 16 Гб ОЗУ
- 200 Гб дисковой подсистемы
- RHEL 7.7, 7.8, 8.1
- CentOS 7.7, 7.8, 8.1
- Наличие установленных компонентов ArcSight Fusion (веб-интерфейс управления) и ESM Command Center / Recon.
Основные особенности:
- Интеграция с платформой ArcSight, включающей в себя SIEM-решение ArcSight ESM
- Интеграция с более чем 120 ИТ/ИБ-решениями
- Графический и Python-редактор действий и рабочих процессов
- Использование автоматических и ручных действий, например, требование формального ручного согласования критичного действия. Возможность «отката» некоторых выполненных действий. Возможность задания условий выполнения действий
- Разграничение доступа к выполнению операций с различными подключенными системами на основе ролевой модели, использование ACL пользователей и групп пользователей для контроля доступа к объектам интеграции.
- Логирование выполняемых действий, отчетность с 20 предустановленными шаблонами, построение timeline
- Кастомизируемые дашборды, 50 предустановленных виджетов
- Возможность создания пользовательских плагинов в предоставляемой в решении среде разработки
- Использование справочников (Lists) для хранения данных
- Поддерживается установка On-prem или в облачной инфраструктуре (Azure, AWS)
3.2. Blumira
Blumira, Inc. — американский стартап, разработчик решения Blumira. В портфеле продуктов Blumira есть решение Cloud SIEM с функциями обработки данных TI-фидов, автоматизированного обнаружения угроз, поиска киберугроз (Threat Hunting) и управления собранными данными об инцидентах.
Процесс настройки решения предполагает установку компонента Blumira Sensor в защищаемой инфраструктуре, установка осуществляется на ОС Ubuntu 18.04 (виртуальный или физический сервер). Далее сенсор Blumira Sensor получает и парсит данные из защищаемой инфраструктуры, отправляет результаты в облачный инстанс Blumira Cloud SIEM по протоколу https, где к полученным событиям ИБ применяется анализ данных киберразведки. Затем в случае необходимости оперативного реагирования облачный сервис отправляет команды для выполнения в инфраструктуре организации и оповещает сотрудников через почту/мессенджеры, предоставляя рекомендации по дальнейшему реагированию.
Основные особенности:
- Интеграция с более чем 60 ИТ/ИБ-системами
- Собственные TI-фиды — результат работы аналитиков Blumira, обмен данными TI-фидов внутри решения между заказчиками, интеграция со сторонними TI-фидами
- Использование динамических блок-листов для оперативной блокировки IP-адресов и доменных имен на сетевом оборудовании (Palo Alto Networks, Cisco, Fortinet, Check Point, Sophos, F5 и т.д.)
- Плейбуки в виде рекомендованной последовательности действий для каждого типа инцидента
- Приоритизация предупреждений и инцидентов ИБ
- Передача необходимых артефактов в инциденте
- Автоматическая корреляция данных событий ИБ и данных киберразведки
- Возможность установки виртуальной приманки — Blumira honeypot — для проактивного обнаружения угроз в сети
- Поддержка Multitenancy
- Ролевая модель разграничения доступа
- Отчетность по инцидентам в соответствии с западными стандартами (PCI DSS, FFIEC, NIST 800-53, HIPAA и т.д.).
Поддерживается только работа с динамическими блок-листами для сетевого оборудования. Остальные интеграции используются только для получения событий ИБ из интегрированных (подключенных) систем.
3.3. Cisco SecureX
Компания Cisco Systems представила свое решение Cisco SecureX в 2020 году. Продукт предоставляется бесплатно, если в компании уже используются продукты Cisco. Поддерживается глубокая интеграция со всеми продуктами Cisco и сервисами (например, киберразведка от Cisco Talos). Продукт построен на облачной (размещение в Евросоюзе, США или в странах Азиатско-Тихоокеанского региона) микросервисной архитектуре с концепцией API-first, поддерживается создание собственных интеграций (адаптеров к ИТ/ИБ-системам) через REST API. Адаптеры можно писать на Python, Golang, Java, также поддерживается интеграция с Git репозиториями. Автоматизация рабочих процессов в SecureX работает на базе Cisco Action Orchestrator, который отвечает за логику и порядок работы плейбуков. Документация к последней версии Cisco Action Orchestrator 5.2.1 есть в открытом доступе.
Основные особенности решения:
- Прозрачная интеграция с продуктами Cisco
- Создание кастомных адаптеров к ИТ/ИБ-системам
- Поддержка выполнения скриптов на Linux Shell и Python на интегрированных системах
- Графический интерфейс редактора плейбуков, использование действий («методов») и переменных для реализации логики реагирования на инциденты
- Менеджмент инцидентов: тикетинг, список инцидентов, совместная работа, агрегация объектов в casebook
- Возможность поиска данных в Cisco Orbital (по сути, база данных с атрибутами хостов в сети) с использованием SQL-запросов (Osquery)
- Запрос контекста по интересующему объекту из разных систем, запрос данных из TI-фидов (включая Cisco Talos)
- Модуль Threat Hunting с поиском индикаторов компрометации (IoC) в сети, историей и актуализацией IoCs и затронутых объектов, возможностью немедленного реагирования
- Возможность отправить IoC в Cisco AMP Threat Grid (локальная или облачная «песочница») для исследования
- Ролевая модель разграничения доступа
- Гибкие дашборды, отчетность, функционал новостной ленты (ribbon) с возможностью переноса настроенных виджетов между разными продуктами Cisco.
3.4. Cyware
Cyware Labs Inc. — американский стартап со штаб-квартирой в Нью-Йорке, работающий в области предоставления услуг и продуктов для обеспечения кибербезопасности. В состав продукта Cyware Fusion and Threat Response (CFTR) входят модуль Cyware Security Orchestration Layer и программный шлюз оркестрации Security Orchestration Gateway, которые обеспечивают управление ИТ/ИБ-системами, размещенными on-prem или в облачной инфраструктуре.
Также в портфеле решений — платформы обмена данными киберразведки, обеспечения ситуационной осведомленности, проведения расследований киберинцидентов. Из коммерческих особенностей можно отметить наличие реферальной партнерской программы для привлечения новых клиентов, а также финансовую программу для MSSP-провайдеров.
Основные особенности решения:
- Более 250 преднастроенных интеграций-приложений
- Встроенная поддержка REST API для взаимодействия с самим продуктом CFTR и интеграциями
- Сотни графических преднастроенных плейбуков с поддержкой импорта и экспорта
- Графический редактор плейбуков,
- Поддержка Python 3 для создания кастомных функций реагирования
- Запуск действий автоматически и вручную, а также по расписанию
- Возможность взаимодействовать как с устройствами, так и с владельцами активов для обработки киберинцидентов
- Кейс-менеджмент с поддержкой реагирования на киберинциденты по стандарту NIST 800-61
- Визуализация взаимосвязей между событиями ИБ, инцидентами и обнаруженными IoCs/артефактами, поддержка классификации инцидентов в соответствии с матрицей MITRE ATT&CK
- Управление уязвимостями, ведение БД с уязвимостями
- Аудит выполненных по плейбуку действий
- Ролевая модель разграничения доступа на основе членства пользователей в группах
- Настраиваемые дашборды, отчетность, виджеты, отображение индикаторов эффективности процессов ИБ.
3.5. D3 SOAR
D3 Security — канадская компания, позиционирует себя как независимого вендора, не входящего ни в какой альянс. Модуль автоматизации реагирования на киберинциденты является составной частью платформы для управления кибербезопасностью, стандартизации, автоматизации и ускорения реагирования на инциденты, соответствия требованиям законодательства. Документация на продукт присутствует в открытом доступе.
Основные особенности решения:
- Графические кастомизируемые плейбуки для реагирования на киберинциденты на основе методологий NIST 800-61 и SANS
- Обработка киберинцидентов по матрице MITRE ATT&CK с поиском индикаторов компрометации и анализом TTPs в событиях ИБ (технология ATTACKBOT)
- Более 300 интеграций, бескодовая (codeless) интеграция на основе API, в т.ч. двусторонняя интеграция с SIEM: Elasticsearch, Exabeam, FortiSIEM, IBM QRadar, LogRhythm, McAfee ESM, Micro Focus ArcSight ESM, RSA NetWitness, Splunk
- Графический редактор плейбуков, возможность создавать автоматизированные и ручные (например, согласование или экспертное решение) действия
- Визуализация взаимосвязей артефактов, TTPs, событий и инцидентов ИБ, построение timeline развития киберинцидентов
- Поиск, анализ и документирование индикаторов компрометации
- Корреляция и дедупликация событий и инцидентов ИБ
- Модели управления доступом на основе этапов реагирования и на основе полномочий пользователя (роли, группы, организации), поддержка шифрования данных в полях объектов
- Отчетность, форензик-документирование, визуализация метрик ИБ, анализ трендов
- Поддержка Multitenancy.
3.6. DFLabs IncMan SOAR
DFLabs — платформа реагирования на киберинциденты, в которую входят решения IncMan SOAR и IncMan DFIR (продукт для автоматизации форензик-действий и реагирования на инциденты). Разработчик — итальянская компания DFLABS SPA. Разработчики позиционируют свой продукт как платформу для SOC, CSIRT (групп реагирования на киберинциденты) и MSSP-провайдеров для предоставления MDR-услуг. У решения есть веб-сообщество.
Основные особенности решения:
- Интеграции с более 150 ИТ/ИБ-системами через QIC, API, CEF, Syslog, еmail, интеграция с TI-фидами (STIX, TAXII, OpenIOC, MISP и т.д.)
- Поддержка REST API и Open Integration Framework для интеграции кастомных решений
- Создание графических плейбуков с помощью проприетарного механизма R3 (Rapid Response Runbook), более 100 преднастроенных плейбуков
- Возможность выполнения автоматических, автоматизированных и ручных действий в рамках реагирования
- Кейс-менеджмент с более чем 100 настраиваемыми полями в карточках инцидентов
- Кастомизируемые дашборды и виджеты
- Более 140 кастомизируемых преднастроенных отчетов и KPI-метрик эффективности СУИБ, включая киберинциденты и комплайенс
- Централизованное хранение всех документов, относящихся к инциденту, с контролем доступа
- Ролевая модель разграничения доступа
- База знаний с данными киберразведки, процедурами, лучшими практиками, стандартами (GDPR, ISO, NIST и т.д.)
- Применение методов машинного обучения (модель «Обучение с учителем») для анализа обработанных инцидентов и выдачи рекомендаций по реагированию с помощью модуля ARK (Automated Responder Knowledge)
- Поддержка Multitenancy с возможностями централизованного управления, физическим разделением данных потребителей, горизонтальной и вертикальной масштабируемостью, балансировкой нагрузки и режимом высокой доступности. Установка в виде виртуального или физического апплайенса.
3.7. Exabeam Incident Responder
Exabeam, Inc. — американская компания с штаб-квартирой в Калифорнии и офисами в США, Мексике и регионах EMEA и APAC, купившая в 2019 году израильскую компанию SkyFormation, которая занималась защитой облачных приложений. Продукт Exabeam Incident Responder — часть решения Exabeam Security Management Platform, состоящего из SIEM, модулей UEBA, TIP, аналитики и реагирования на киберинциденты, которое эволюционировало в Exabeam Cloud Platform. Актуальная версия: Incident Responder i54.5.2. Документация на продукт присутствует в открытом доступе, также как и сообщество и база знаний.
Решение построено на базе ОС Linux, поддерживается установка через VMware ESX, AWS, Google Cloud.
Основные особенности решения:
- Поддержка Multitenancy с PaaS-решением Exabeam Cloud Platform
- Интеграция с платформой Exabeam, в т.ч. SIEM и UEBA
- Интеграция с более чем 85 ИТ/ИБ-решениями для реагирования на инциденты, доступен маркетплейс Exabeam Application Marketplace, возможно создание новых интеграций через SDK
- Графический редактор плейбуков, создание новых плейбуков в Exabeam Cloud Studio, предустановленные плейбуки
- Логические выражения, ручное и автоматическое (по триггерам) выполнение задач в плейбуках. Триггерами могут быть создание инцидента, изменение его статуса или приоритета
- Самостоятельное создание API-действий в плейбуках на Python во внутреннем веб-приложении Action Editor
- Ролевая модель разграничения доступа.
3.8. FireEye Helix SOAR
Американская компания FireEye является разработчиком продукта FireEye Helix SOAR. Данное решение входит в состав облачная платформы управления ИБ FireEye Helix platform, которая состоит из модулей SIEM (с обнаружением угроз методами машинного обучения и с использованием данных киберразведки), UEBA и аналитики (с использованием методов машинного обучения и искусственного интеллекта для обнаружения аномалий в функционировании ИТ-инфраструктуры и поведении пользователей.) Поддерживается инсталляция в облачных, локальных и гибридных инфраструктурах. Актуальная версия продукта FireEye’s Security Orchestrator (FSO): 6.0.
Основные особенности решения:
- Более 400 встроенных плейбуков, разработанных экспертами по реагированию на инциденты дочерней компании Mandiant
- Фреймворк для разработки плагинов, более 150 встроенных интеграций, возможность скачивания дополнительных интеграций через маркетплейс
- Интеграция с TI-фидами, быстрое создание инцидентов, если было обнаружено вредоносное подключение или индикатор компрометации
- Подсказки следующих шагов при проведении реагирования (пакеты экспертизы)
- Корреляция текущего инцидента с произошедшими ранее инцидентами
- Быстрый переход из инцидента к свойствам актива
- Атрибутирование атаки с определенной APT-группировкой
- Интеграция с TI-сервисами Mandiant и FireEye Threat Intelligence
- Кастомизируемые дашборды, отображение предупреждений, кейсов, событий ИБ
- Отчеты по соответствию нормативным требованиям
- Ролевая модель предоставления доступа, возможность назначать гранулированные права доступа.
3.9. Fortinet FortiSOAR
Американская компания Fortinet в конце 2019 приобрела компанию CyberSponse — разработчика SOAR-продукта CyOPs и трансформировала это решение в FortiSOAR. В продукте FortiSOAR поддерживается полная интеграция с экосистемой Fortinet Security Fabric, включающей в себя продукты FortiAnalyzer (ПАК сбора и анализа событий ИБ), FortiSIEM (SIEM-система с модулями UEBA, машинного обучения, TI-фидами и CMDB), FortiGate (NGFW), FortiEDR (мультиплатформенное EDR-решение с поддержкой защиты IoT-устройств), FortiSandbox («песочница» с возможностью размещения в локальной инфраструктуре или в облаке), FortiMail (система защиты электронной почты). Актуальная версия решения FortiSOAR: 6.4.4. Документация присутствует в открытом доступе. У продукта также есть бесплатная версия в виде FortiSOAR Free Community Edition.
Решение FortiSOAR базируется на ОС CentOS 7, поддерживается установка только в виртуальной среде VMware, KVM и AWS из образа виртуальной машины или с помощью инсталлятора (бинарного файла) на ОС CentOS 7. В качестве компонентов используются PostgreSQL, Elasticsearch, Redis, RabbitMQ, nginx, Tomcat.
Аппаратные требования:
- 8 CPU
- 32 Гб ОЗУ
- 1 Тб дисковой подсистемы
Основные особенности решения:
- Менеджмент инцидентов ИБ с помощью интерактивных настраиваемых дашбордов, с возможностью создания пользовательских отображений, справочников, полей данных с использованием ролевой модели доступа к данным инцидентов, с поддержкой функционала очередей для обрабатываемых инцидентов и назначением различным членам команды SOC-центра своих задач, с поддержкой матрицы MITRE ATT&CK
- Интерактивный графический редактор рабочих процессов (плейбуков), более 200 предустановленных плейбуков. Возможностью экспорта/импорта плейбуков (в формате JSON) и анализа их использования и эффективности, с возможностью совместной работы одновременно несколькими аналитиками для создания кастомных плейбуков в графическом или текстовом виде (JSON-файл)
- Функционал коннекторов к практически 300 различным ИТ-системам и СЗИ, включая SIEM-решения FortiSIEM, McAfee ESM, RSA Netwitness, Micro Focus ArcSight, IBM QRadar, Splunk. Возможность создания пользовательских коннекторов на Python с помощью FortiSOAR Connector SDK
- Построение графа связей сущностей, фигурирующих в киберинциденте
- Поддержка Multitenancy, оптимизация под MSSP, возможность назначать разрешения для различных тенантов, балансировка нагрузки и быстрое масштабирование, запуск независимых рабочих процессов независимо у разных клиентов
- Визуализация данных на дашбордах, виджетах, списках, диаграммах, вывод данных в отчеты, экспорт графических представлений в pdf, возможность назначать права доступа на графические элементы в соответствии с моделью доступа
- Возможность работы в выделенных сетевых сегментах через FortiSOAR-агента, который осуществляет отправку и получение управляющих сигналов и данных
- Ролевая модель предоставления доступа к плейбукам — права на создание, обновление, чтение, выполнение, удаление. Кроме того, доступ к определенным плейбукам можно предоставить только определенным командам аналитиков.
3.10. IBM Security SOAR
Американская компания IBM в 2016 году приобрела компанию Resilient Systems, которая специализировалась на реагировании на киберинциденты и разрабатывала решение Resilient IRP. Продукт для автоматизации реагирования стал называться IBM Security Resilient, но недавно был переименован в IBM Security SOAR. В портфеле IBM большое количество продуктов, в том числе SIEM-система IBM QRadar, которая интегрируется с IBM Security SOAR через приложение IBM QRadar SOAR Plugin. Рассматриваемая версия IBM Security SOAR: 36.2. Документация на решение присутствует в открытом доступе. Также есть портал для разработчиков интеграций и GitHub-репозиторий.
Системные требования:
- 4 ЦПУ
- 16 Гб ОЗУ
- 100 Гб дисковой подсистемы
- Установка на RHEL 7.4-7.7 или старше, БД работает на Tomcat и PostgreSQL
- Поддержка гипервизоров: VMware 6.0 или старше
Основные особенности решения:
- Графический редактор рабочих процессов с поддержкой нотации BPMN, динамические плейбуки с возможностью менять процесс обработки инцидента по мере поступления новой информации, возможность ручного редактирования плейбуков и написания скриптов реагирования на Python (версии 2.7)
- Интеграции с более чем 180 ИТ/ИБ-системами с помощью технологии контейнеризации AppHost (на основе Kubernetes)
- Создание новых Python-приложений с помощью фреймворка Resilient Circuits, поддержка RESTful API
- Нативная интеграция с провайдером данных киберразведки IBM X-Force Exchange, возможность интеграции с другими TI-фидами
- База знаний с библиотекой нормативных актов (ориентированы на зарубежное законодательство по защите персональных данных)
- Отчетность, графические дашборды, отображение KPI и метрик эффективности процессов ИБ
- Ролевая модель разграничения доступа
- Поддержка работы on-prem (программный апплайенс) и в облачной инфраструктуре (IBM Cloud SOC 2 Type 2, соответствие стандартам ISO 27001, 27017, 27018)
- Поддержка Multitenancy и работы в MSSP-средах (опции быстрого масштабирования, контроля метрик всех клиентов, быстрое обновление контента и плейбуков у всех клиентов).
3.11. LogRhythm RespondX
Продукт LogRhythm RespondX разрабатывается американской компанией LogRhythm и является частью LogRhythm NextGen SIEM Platform, в которую входят LogRhythm XDR Stack (модуль AnalytiX — лог-менеджмент с использованием ИИ, модуль DetectX — аналитика, скоринг и TI, модуль RespondX — SOAR), NetworkXDR (контроль и реагирование на сетевые угрозы), UserXDR(контроль и реагирование на угрозы, связанные с учетными записями), NetMon (модуль контроля сетевой активности), SysMon (модуль контроля конечных точек). Документация на платформу присутствует в открытом доступе.
Решение можно устанавливать в локальной инфраструктуре (в виде апплайенсов и поверх ОС), а также в облачной инфраструктуре (public и private облака).
Основные особенности решения:
- Реагирование с модулем SmartResponse Automation
- Интеграция с ИТ/ИБ-системами с помощью более 40 готовых плагинов LogRhythm SmartResponse automation Plugins (SRPs), позволяющих осуществлять совместную работу (например, отправку оповещений в мессенджеры, заведение тикетов в хелпдеск-системах), обогащение данных по инцидентам (например, поиск хэша в VT, запуск сканирования на наличие уязвимостей, получение данных о хосте), реагирование на инцидент (например, блокирование IP-адреса на сетевом устройстве, блокирование учетной записи, остановка сервиса или процесса на хосте)
- Возможность создания собственных плагинов для реагирования с применением встроенного инструментария на распространенных скриптовых языках (включая Python и PowerShell)
- Поддержка разнообразных опций реагирования на инциденты: вручную, с запросом согласования, автоматическое выполнение при соблюдении логических условий, удаленное исполнение команд компонентом LogRhythm SysMon Agents.
- Модуль кейс-менеджмента с документированием действий и ведением «аудиторского следа» (audit trail)
- Графические плейбуки
- Метрики эффективности процессов ИБ для SOC
- Дашборды, отчетность
- Дискреционная модель разграничения доступа.
3.12. LogSign SOAR
LogSign — турецкая компания-создатель решений класса SIEM и SOAR. В SIEM-системе присутствует более 400 интеграций, а также есть взаимодействие с TI-фидами, создание кастомных плагинов, поведенческий анализ, более 200 встроенных правил корреляции, дашбордов и отчетов, рассылка уведомлений по email и SMS. Продукт LogSign SOAR интегрируется и взаимодействует с LogSign SIEM.
Основные особенности решения:
- Поддержка API для взаимодействия со сторонними решениями
- Более 400 встроенных интеграций и более 200 преднастроенных действий по автоматизации
- Графические плейбуки и интерактивные кастомизируемые боты для автоматизации действий
- Ручные и автоматические действия
- Кейс-менеджмент с обменом информацией, постановкой задач, контролем SLA
- Ведение базы знаний решенных инцидентов
- Графические дашборды, отчеты
- Поддержка Multitenancy для MSSP-провайдеров
3.13. Microsoft Azure Sentinel
Стек защитных технологий от американской компании Microsoft достаточно обширен и может быть представлен такими продуктами, как комплекс безопасности облачной инфраструктуры Azure Security Center, центр обеспечения безопасности Microsoft 365 Security Center, центр обеспечения соответствия требованиям Microsoft 365 Compliance Center, XDR-решение Microsoft 365 Defender, CASB-решение Microsoft Cloud App Security, а также облачная SIEM-система Microsoft Azure Sentinel с функциями SOAR. В рамках данного обзора мы вкратце опишем основные особенности и «фишки» решения, но следует учитывать, что Sentinel невозможно использовать отдельно от всего облачного стека Microsoft, который представляет собой огромную взаимосвязанную экосистему технологий, продуктов и сервисов, поэтому объективного сравнения с другими SOAR-платформами ожидать не следует.
Решение Microsoft Azure Sentinel позволяет осуществлять сбор событий ИБ из облачных продуктов компании Microsoft, а также из практически любых других источников, используя стандартные методы (CEF, Syslog и т.д.), агента Azure Sentinel agent, метод REST API. Для предоставления данных киберразведки работает подразделение Microsoft Threat Intelligence Center, которое обеспечивает мониторинг более 200 разнообразных облачных сервисов, более 18 млрд. веб-страниц сканируются ежедневно поисковым движком Bing, анализируется более 400 млрд. сообщений электронной почты.
В продукте преднастроены некоторые плейбуки и предоставляется возможность создавать свои собственные в графическом редакторе. Также есть возможность использования аналитического инструмента Jupyter Notebook и Python-скриптов для анализа событий ИБ и реагирования на киберинциденты.
Благодаря технологии Fusion, основанной на принципах машинного обучения и искусственного интеллекта, продукт способен обнаруживать многоступенчатые сложные кибератаки, идентифицируя и анализируя подозрительные действия, признаки компрометации и отклонения в поведении контролируемых сущностей. Также предоставляется возможность загружать в систему собственные модели машинного обучения.
3.14. PaloAlto Cortex XSOAR
Стартап Demisto был приобретен американской компанией Palo Alto в 2019 году, и SOAR-продукт Demisto получил название PaloAlto Cortex XSOAR. При этом GitHub-репозиторий Demisto регулярно обновляется и в настоящее время, а у Cortex XSOAR есть также бесплатная Community Edition. Актуальная версия продукта PaloAlto Cortex XSOAR: 6.1. Документация на решение присутствует в открытом доступе. Существует также портал для разработчиков.
Установку PaloAlto Cortex XSOAR можно производить на виртуальной и физической инфраструктурах, а также через Docker. Хранение индикаторов и данных аудитов осуществляется в Elasticsearch. Решение поддерживает установку и использование агентов на ОС Windows, Linux или MacOS для выполнения действий (скрипты, команды) по реагированию на конечных точках и для сбора форензик-данных.
Системные требования:
Сервер Cortex XSOAR Server:
- ОС CentOS (7.x и выше), Ubuntu (16.04 и выше), RHEL (7.x и выше), Oracle Linux (7.x)
- 8 ЦПУ
- 16 Гб ОЗУ
- 500 Гб дисковой подсистемы
Сервер Cortex XSOAR Engine:
- Windows, MacOS, Linux
- 8 ЦПУ
- 16 Гб ОЗУ
- 20 Гб дисковой подсистемы
Основные особенности решения:
- Более 500 встроенных интеграций, двухсторонний обмен данными между XSOAR и интегрированными ИТ/ИБ-системами для синхронизации данных, полная интеграция с продуктами PaloAlto
- Графический редактор плейбуков
- Маркетплейс со сценариями использования (use-cases), плейбуками, дашбордами, отчетами
- Механизм DBot, осуществляющий функцию машинного обучения путем анализа действий аналитиков (модель «Обучение с учителем») с дальнейшим анализом индикаторов компрометации, выдачей рекомендаций по назначению соответствующего инциденту аналитика, по дальнейшим действиям в рамках процесса реагирования и по улучшению плейбуков
- Управление данными киберразведки, обработка индикаторов компрометации, ассоциация индикаторов с инцидентами, добавление новых индикаторов
- Автоматическое назначение соответствия (маппинг) свойств событий (полей) из интегрированных систем в XSOAR с применением методов машинного обучения
- Поддержка Multitenancy.
3.15. Rapid7 InsightConnect
Американская компания Rapid7 в 2017 году купила компанию Komand, которая занималась разработкой SOAR-систем. В результате на рынке появился продукт Rapid7 InsightConnect. В портфеле решений Rapid7 есть также Rapid7 InsightIDR (решение для обнаружения и реагирования на киберугрозы), DivvyCloud (продукт для защиты облачных систем), InsightAppSec (анализатор ПО), InsightVM (платформа управления уязвимостями). Эти решения объединены в платформе Rapid7 Insight Cloud. Документация на продукт есть в открытом доступе.
Ключевым компонентом решения является Insight Orchestrator, который управляет плагинами интеграции, работающими в Докер-контейнерах. Оркестратор устанавливается либо в виде образа на базе CentOS 7 для платформ виртуализации (VirtualBox, VMWare, AWS), либо с помощью скрипта инсталляции на сервере с ОС CentOS 7 или RHEL 7/8. Оркестратор взаимодействует с облачными серверами InsightConnect для получения задач и отправки результатов их выполнения, а также для предоставления сведений о состоянии самого оркестратора. Один оркестратор может использоваться для управления несколькими продуктами Rapid7 (InsightConnect, InsightVM или InsightIDR), при этом в случае сегментирования ЛВС в каждом сетевом сегменте потребуется установить отдельный сервер-оркестратор.
Системные требования:
Сервер Insight Orchestrator:
- 4 ЦПУ
- 8 Гб ОЗУ
- 64 Гб дисковой подсистемы
Основные особенности решения:
- Более 300 плагинов для интеграции с ИТ/ИБ-системами с документацией по работе плагина, по подключению и с требованиями для работы (порты, права). Поддержка двусторонней интеграции для синхронизации данных в подключенных ИТ/ИБ-системах (СЗИ, тикетинг-системы). Есть API-интеграция со следующими SIEM-системами: IBM QRadar (передача данных об инцидентах, справочниках, выполнение AQL-запросов для поиска событий), McAfee ESM (получение событий, слежение за статусом инцидентов), Splunk (получение событий, поиск информации, отправка обновленной информации в Splunk)
- Более 170 готовых рабочих процессов для выполнения типовых действий на подключенных ИТ/ИБ-системах, например: добавить URL в блоклист, удалить актив, поместить хост в карантин, получить данные по хэшу от TI фидов. Взаимодействие между интегрированными системами ведется либо по API, либо через мессенджеры Slack и Microsoft Teams
- Расширенные интеграции через встроенные приложения: InsightConnect App for Splunk (передача событий из Splunk в InsightConnect для запуска workflow), Slack (реализация концепции ChatOps, т.е. выполнение действий по автоматизации реагирования на киберинциденты через мессенджеры для коммуникации, получения информации и предупреждений, запуска рабочих процессов), InsightIDR (передача обогащенных событий ИБ из InsightConnect в InsightIDR для проведения киберраследования инцидента)
- Возможность выбрать бизнес-критичные действия, которые аналитики смогут выполнить только вручную. Возможность совмещения автоматических действий и взаимодействия с сотрудниками компании (например, получение согласования HR-сотрудника перед блокированием учетной записи в Active Directory)
- Дашборды с указанием сэкономленного времени, список действий, статистика по workflows, графики с количеством автоматизированных и ручных действий
- Модуль Workflow – графический редактор с поддержкой создания логических операторов на языке FQL (Format Query Language) для фильтрации данных и задания логики принятия автоматизированных решений. В пределах рабочего процесса все данные передаются внутри JSON-объектов, бинарные файлы передаются в base64-формате также внутри JSON-объектов. Рабочие процессы запускаются в рамках задач, в которых контролируются состояние, время и результат выполнения рабочих процессов. В рамках рабочего процесса поддерживается работа с глобальными артефактами, т.е. с элементами справочников, содержащих, например, IP-адреса, имена учетных записей, имена доменов, которые можно использовать в разных рабочих процессах одновременно.
3.16. RSA NetWitness Orchestrator
RSA NetWitness Orchestrator — продукт североамериканской компании RSA, которая в 2020 г. была выкуплена частной инвестиционной компанией Symphony Technology Group у корпорации Dell Technologies, в которую RSA входила с 2016 г. В 2019 году компания ThreatConnect, Inc. стала партнером компании RSA: объединенное решение ThreatConnect Platform стало называться RSA NetWitness Orchestrator Built on ThreatConnect. Решение ThreatConnect Platform собирает и компилирует данные из более чем 100 TI-фидов и десятков сообществ киберисследователей. Актуальная версия продукта RSA NetWitness Orchestrator: 6.0.7. Документация на решение присутствует в открытом доступе.
Системные требования:
- Сервер приложений: 16-48 Гб ОЗУ, 8 ЦПУ, 50-150 Гб дисковой подсистемы
- Сервер БД: 12-32 Гб ОЗУ, 6-12 ЦПУ, 20-60 Гб дисковой подсистемы
- Сервер Elasticsearch: 12-32 Гб ОЗУ, 6-12 ЦПУ, 20-60 Гб дисковой подсистемы
Требования к программной среде:
- ОС RHEL 6/7 или CentOS 6/7
- Oracle Java или OpenJDK
- Сервер Elasticsearch 6.3.0
- Python 3.6
- Redis 4.0.10
- СУБД MySQL 5.7 или SAP S/4HANA или PostgreSQL 11
Основные особенности решения:
- Более 500 интеграций, с возможностью создания своих интеграций (Python, JavaScript)
- Встроенная поддержка TI-фидов и приоритизация ответных действий с учетом точности данных киберразведки
- Графические кастомизируемые дашборды с выводом метрик ИБ
- Инструменты для совместной работы над киберинцидентами с автоматическим документированием действий и поддержкой ChatOps
- Использование технологии Machine Learning (модель «Обучение с учителем») для поддержки принятия решений аналитиком
- Полная интеграция с SIEM-решением RSA NetWitness Platform, SGRC-решением RSA Archer
- Поддержка Multitenancy
- Ролевая модель разграничения доступа.
3.17. Securonix SOAR
Разработчик решения Securonix SOAR — американская компания Securonix, Inc, с представительствами в регионах EMEA и APAC. Кроме SOAR в продуктовой линейке Securonix есть также решения SIEM, UEBA, NDR (Network Detection and Response), NTA (Network traffic analysis) и Security Data Lake (облачная платформа безопасности для обработки Big Data, сертифицированная по SOC 2 Type 2 и ISO 27001:2013), которые входят в единую платформу Securonix SNYPR (Security Operations and Analytics Platform).
В 2019 году Securonix заявлял о партнерстве с компанией CyberSponse и об интеграции продукта CyberSponse SOAR (CyOPs) в решение Securonix SIEM. Далее, в конце 2019 г. компания Fortinet приобрела CyberSponse, а в Securonix, по всей видимости, начали развивать SOAR уже самостоятельно. Актуальная версия решения: 6.3. Документация на продукт есть в открытом доступе.
Системные требования:
- 8 ЦПУ
- 32 Гб ОЗУ
- 1 Тб дисковой подсистемы
- Поддержка гипервизоров: VMware ESX 5.5 и старше, AWS
Основные особенности решения:
- Более 275 интеграций в системе Securonix Fusion Partners
- Использование методов машинного обучения (модель «Обучение с учителем») и искусственного интеллекта для предоставления рекомендаций по реагированию или для выполнения действий автоматически, а также для приоритизации инцидентов и угроз
- Кейс-менеджмент с логированием выполняемых действий, созданием audit trail («аудиторского следа»)
- Отчеты и метрики с предоставлением данных по эффективности реагирования на киберинциденты
- Лицензирование: стоимость лицензии зависит от количества сотрудников в компании, вне зависимости от объема данных, активов, интеграций и т.д.
- Предоставляется Securonix API для интеграции кастомных решений
- Профессиональные сервисы по поддержке и внедрению продуктов, обучение и проведение продуктовых сертификаций
- Поддержка Multitenancy
- Установка On-prem или в облаке (сертификация AWS Security Competency) в виде программного апплайенса (Linux-based)
- Ролевая модель разграничения доступа.
3.18. ServiceNow Security Operations
ServiceNow Security Operations — это SOAR-решение от американской компании ServiceNow, построенное на фирменной платформе Now с использованием ServiceNow CMDB, с рабочими процессами, модулями автоматизации и визуализацией. Платформа ServiceNow предлагает широкие возможности по интеграции с внешними ИТ/ИБ-продуктами с помощью единого унифицированного подхода для устранения уязвимостей, реагирования на инциденты ИБ, работы с ИТ-активами. У вендора есть также решение класса GRC (Governance, Risk-management, Compliance) под названием Service Now GRC со следующими модулями: управление политиками и соответствием требованиям, риск-менеджмент, управление аудитами, управление рисками поставщиков. Актуальная версия платформы: The ServiceNow релиз Quebec (в ServiceNow релизы традиционно называют по городам: Квебек, Париж, Орландо и т.д.). Документация на решение ServiceNow Security Operations присутствует в открытом доступе, также есть платформа для разработчиков и сообщество пользователей. Для пользователей платформы доступен маркетплейс с интеграциями.
Системные требования:
- 4 ЦПУ (2 ГГц)
- 8 Гб ОЗУ
- 40 Гб дисковой подсистемы
Требования к программной среде:
- Windows Server 2012, 2016, 2019 с .NET Framework версий 3.5, 4.0, 4.5, 4.6 или 4.7 и с PowerShell версии от 3.0 до 5.1. Либо RHEL 6 и выше, CentOS 6 и выше, Ubuntu 14.04 и выше
- В платформе используются Java 11, Java Service Wrapper версии 3.5.40.
Основные особенности решения:
- Более 80 интеграций с ИТ/ИБ-системами, в т.ч. с SIEM-продуктами Micro Focus ArcSight ESM, Elasticsearch, IBM QRadar, McAfee ESM, Splunk
- Модуль реагирования на уязвимости: идентификация, приоритизация и устранение уязвимостей с оценкой рисков эксплуатации на основе данных из сканеров уязвимостей, баз данных уязвимостей, анализаторов ПО с последующей поставновкой задач сотрудникам ИТ-подразделений
- Модуль реагирования на киберинциденты: идентификация, приоритизация и обработка инцидентов ИБ с использованием данных подключенных СЗИ, в т.ч. SIEM-систем, а также данных из TI-фидов, с выполнением действий по сдерживанию и устранению угроз (например, заблокировать IP-адрес на сетевом оборудовании, удалить фишинговое сообщение из email), ведением базы знаний решенных инцидентов, созданием записей аудита и предоставлением отчетности по реагированию и визуализацией на дашбордах.
- Модуль соответствия конфигураций: идентификация, приоритизация и постановка задач на исправление конфигурации ИТ-активов на основе полученных из CMDB данных, политик (путем интеграции с продуктом ServiceNow GRC с дальнейшим автоматическим контролем показателей соответствия), анализаторов ПО и источников информации о требованиях комплайенса
- Модуль киберразведки: threat hunting, сбор и обработка индикаторов компрометации, обогащение инцидентов ИБ данными киберразведки с использованием формата STIX (поддерживаются версии 1.1, 2.0 и 2.1)
- Интеграция с мобильными платформами (Android, iOS) для предоставления возможности оперативного реагирования с учетом ролевой модели разграничения доступа
- Поддержка Multitenancy для MSSP/SOC-внедрений путем разделения обрабатываемой информации по доменам с разграничением прав доступа
- Визуализация: графический редактор рабочих процессов, построение timeline реагирования, дашборды со статистикой и метриками эффективности процессов ИБ (более 50 преднастроенных метрик KPI), анализ и прогнозирование трендов СУИБ
- Взаимодействие с контролируемыми ИТ-активами и подключенными СЗИ через MID-сервер. Management, Instumentation, Discovery (MID) сервер — Java-приложение, устанавливаемое на Windows или Linux сервер, оснащенное поддержкой разнообразных методов взаимодействия (LDAP, JDBC, REST API, SOAP, WSDL, ODBC, веб-сервис, файловый метод) и языков программирования (Python, PowerShell, PHP, Perl, Ruby и т.д.) для расширения функционала.
- Приоритизация реагирования на инциденты, устранения уязвимостей и неверных конфигураций на основе риск-ориентированного подхода к важности конкретного актива (CI-записи в CMDB) для бизнес-процессов компании
- Ролевая модель разграничения доступа.
3.19. Siemplify
SOAR-платформа Siemplify создана израильской компанией с офисами в Тель-Авиве и Нью-Йорке. Есть версия как коммерческая (от $2500 в месяц, с пакетными предложениями для SOC-команд и MSSP-провайдеров), так и бесплатная Community Edition с некоторыми функциональными ограничениями по количеству инцидентов, плейбуков, пользователей, функционалу. Актуальная версия: 5.6.0. Документация на решение есть в открытом доступе, также доступна документация на используемые интеграции. Есть портал для разработчиков и пользователей. Siemplify предлагает свой маркетплейс с интеграциями, сценариями использования, плейбуками. Кроме того, предоставляется среда разработки на Python для создания интеграций (коннекторов) сторонними разработчиками для отправки данных в Siemplify.
Siemplify написан на Python, «под капотом» работает стек ELK (Elasticsearch, Logstash, Kibana), а также СУБД PostgreSQL для операционных данных и Elastic Search Index для хранения событий ИБ. Поддерживается установка Siemplify как в облачной инфраструктуре, так и on-prem, в т.ч. на виртуальной инфраструктуре.
Системные требования:
- 12 ЦПУ
- 32 Гб ОЗУ
- 800 Гб дисковой подсистемы
Требования к программной среде:
- ОС CentOS 7.8
Основные особенности решения:
- Технология Siemplify ThreatFuse в партнерстве с киберразведовательной компанией Anomali для сбора, анализа и управления TI-данными и индикаторами компрометации с применением методов машинного обучения
- Графический редактор плейбуков с реализацией логики ветвлений, задания триггеров и условий переходов
- Набор предустановленных и пополняемых компанией и сообществом плейбуков для распространенных сценариев, ведение метрик по плейбукам, симуляции и аналитика эффективности действий по плейбукам, версионность плейбуков, возможность отката до предыдущей версии плейбука
- Методы машинного обучения используются в Siemplify для приоритизации киберинцидентов (с учетом ранее зафиксированных ложноположительных срабатываний) для назначения на инцидент наиболее подходящего по опыту аналитика ИБ, с выдачей рекомендаций по оптимальным дальнейшим шагам при реагировании
- Ролевая модель разграничения доступа с возможностью запрета/разрешения определенных действий в рамках плейбуков
- База знаний киберинцидентов
- Визуализация данных на дашборах, предоставление отчетности, метрики эффективности СУИБ (ROI, KPI)
- Продвинутая поддержка Multitenancy для MSSP-провайдеров и коммерческих SOC-Центров.
3.20. SIRP
Продукт SIRP создан в SIRP Labs Limited — великобританской компанией с офисами в Лондоне и Чикаго (США), которая, судя по пресс-релизам, работает в основном с клиентами из стран Ближнего Востока. Продукт позиционируется как риск-ориентированная SOAR-платформа.
Основные особенности решения:
- Более 450 автоматизированных действий из коробки, более 100 интеграций, возможность бесплатно создать новую API-интеграцию за 72 часа с помощью вендора
- Бескодовый (no-code) графический редактор плейбуков и рабочих процессов
- Встроенная система скоринга киберрисков для расчета опасности инцидентов, предупреждений, уязвимостей и их приоритизации по методике S3 (SIRP Security Score) с применением методов машинного обучения, возможность кастомизации под фреймворк управления рисками конкретной организации
- Использование баз данных уязвимостей, данных киберразведки, риск-скоринга для обработки уязвимостей
- Автоматическое логирование действий, отчетность, дашборды
- Интеграция с TI-фидами
- Поддержка MSSP: Multitenancy, возможность гибридной установки (on-prem и в облачной инфраструктуре), веб-портал для доступа клиентов MSSP-провайдеров.
3.21. Splunk Phantom
Компания Splunk Inc. в 2018 году закрыла сделку по приобретению компании Phantom Cyber Corporation, которая разрабатывала решение Phantom SOAR. SOAR-платформа стала принадлежать Splunk и получила название Splunk Phantom. Актуальная версия Splunk Phantom: 4.10.1. Документация на продукт присутствует в открытом доступе. У решения также есть Community Edition и интернет-сообщество. Splunk Phantom построен на опенсорсном Python-фреймворке Django.
Поддерживаемые варианты установки:
- облачная инсталляция (AWS)
- виртуальный апплайенс (VMware, VirtualBox)
- установка на имеющийся сервер (RHEL 7.6, CentOS 7.6).
Системные требования:
- 4-8 ЦПУ
- 16-32 Гб ОЗУ
- 500 Гб для БД на PostgreSQL, 500 Гб для встроенной БД Splunk, 500 Гб для хранения файлов в дисковой подсистеме
Основные особенности решения:
- Графический редактор плейбуков (VPE, Visual Playbook Editor)
- Поддержка Python-среды разработки для создания рабочих процессов
- Большое количество предустановленных функциональных блоков для использования в плейбуках с возможностью кастомизации и создания пользовательских объектов
- Поддержка более 300 ИТ/ИБ-систем и почти 2000 API-интеграций. Интеграция с ИТ/ИБ-системами на высоком уровне абстракции, «прозрачном» для аналитиков. Есть возможность создания пользовательских интеграций на Python. Поддерживается полная интеграция с платформой Splunk
- Интеграция с системой машинного обучения Splunk Machine Learning Toolkit
- Поддержка мобильной платформы iOS для работы с Phantom
- Инструменты для совместной обработки инцидентов, общения, обмена информацией.
Основные модули Splunk Phantom:
- Расследования (Phantom Investigations) для оперативной работы с киберинцидентами (просмотр инцидентов, данных, выполняющихся операций)
- Руководства (Phantom Mission Guidance): рекомендации по обработке инцидентов на основе имеющейся в платформе информации, настроенных интеграций и плейбуков
- Лента действий (Activity Feed): отображение хода выполнения действий по реагированию с деталями для удобства совместной работы аналитиков
- Управление инцидентами для проведения расследований по подтвержденным киберинцидентам и фиксации выполненных действий
- Ведение справочников и шаблонов реагирования на инциденты.
Основными компонентами системы Splunk Phantom являются:
- Приложение (App) — коннектор к ИТ/ИБ-системе, которая подключена к Phantom. При этом следует иметь ввиду, что при работе приложения у него есть полный доступ к ОС, на которой работает сам Phantom, без каких-либо ограничений. Поддерживается также механизм использования учетных данных JIT (Uust-in-Time), при котором учетные данные для доступа к сторонней системе вводятся непосредственно в момент выполнения задачи
- Контейнер — событие ИБ, переданное в Phantom. Для группирования контейнеров используются метки (Labels)
- Кейс — тип контейнера, содержащий другие контейнеры, взаимосвязанные определенным образом, например, относящиеся к одному и тому же инциденту ИБ. Кейсы содержат фазы и задачи по обработке киберинцидентов
- Артефакт — данные, добавленные в контейнер, например, хэш файла или IP-адрес
- Плейбук — набор задач автоматизации, выполняемых с поступающими в Phantom событиями. Запуск плейбука может быть частью рабочего процесса, настраиваемого в рабочей тетради
- Рабочая тетрадь (Workbook) — шаблон со списком стандартизированных действий, которые аналитик выполняет при обработке киберинцидента
- Действие (Action) — задача, выполняемая автоматически в плейбуках или вручную из веб-интерфейса Phantom, например, сохранение дампа памяти процесса, блокировка IP-адреса, выключение сервера и т.д.
3.22. STORM
STORM — это SOAR-система немецкой фирмы OTRS Group, создателя решения OTRS (Open-source Ticket Request System) — системы обработки заявок (тикетинг), который уже более 20 лет присутствует на рынке. У продукта OTRS есть также Community Edition, размещенная в GitHub-репозитории. Кроме STORM в портфеле решений OTRS Group еще есть продукт CONTROL — информационная система обеспечения соответствия СУИБ стандарту ISO/IEC 27001, которая позволяет автоматизировать и документировать часть задач по обеспечению соответствия, аудитам, оценки рисков ИБ, управлению активами, ведению внутренней базы знаний. Актуальная версия STORM: 8.0. Документация по решению есть в открытом доступе.
Основные особенности решения:
- Поддержка шифрования и подписи email и заявок (тикетов) (S/MIME, PGP) с поддержкой TLP-меток конфиденциальности
- Поддержка скриптов для интеграции, интеграция через WebAPI, интеграция с SIEM-системами
- Интеграция с поставщиками TI-информации (IP-адреса, бюллетенях уязвимостей, каталог уязвимостей VulnDB, VirusTotal). Обновление индикаторов компрометации в тикетах в режиме реального времени.
- Кастомизация внешнего вида тикетов и списка тикетов, настройка способов оповещения и планируемого время реагирования
- Выполнение shell-скриптов на удаленных системах с обновлением полей тикета результатами выполнения скрипта
- Поиск и корреляция по определенным полям (например, IP-адреса и значение хэш-суммы) в ранее заведенных тикетах
- Документирование действий и инцидентов.
Этапы процесса использования STORM:
- Идентификация инцидента (например, пришедшего из SIEM), заведение кейса
- Приоритизация и категоризация кейсов (инцидентов)
- Диагностика и обогащение кейсов: агрегация и централизация данных из интегрированных систем и TI-фидов
- Реагирование: оповещение всех заинтересованных участников процесса, централизованное хранение обновляемой информации об инциденте
- Закрытие кейса: документация всех действий по реагированию в нередактируемом виде для возможной будущей форензик-оценки.
3.23. Swimlane
Swimlane SOAR — это продукт американской компании Swimlane, работающей на рынках США, EMEA и APAC. Компания позиционирует себя как крупнейшего американского независимого вендоро-нейтрального производителя SOAR-решения, «заточенного» под SOC-центры и MSSP-провайдеров. В апреле 2020 Swimlane купила компанию Syncurity, которая разрабатывала свою платформу для расследования киберинцидентов. Актуальная версия продукта: 10.2.0. Документация на решение есть в открытом доступе, также есть маркетплейс со списком интеграций и документацией по подключению для каждой системы.
Решение поддерживает установку на физическую и виртуальную инфраструктуру и на облачные IaaS-платформы. Присутствует поддержка multitenancy, режимов отказоустойчивости и высокой доступности. Swimlane использует СУБД MongoDB и веб-сервер Microsoft IIS.
Основные особенности решения:
- Плагины: интеграция с более 150 ИТ/ИБ-систем и решений
- Приложения: наборы визуальных элементов, рабочих процессов и их стадий, используемых для упрощения расследования инцидентов
- Апплеты: составные части приложений, которые могут содержать визуальные элементы
- Архитектура, спроектированная с расчетом на API-взаимодействие
- Модуль кейс-менеджмента
- Отчетность с визуализацией
- Отправка уведомлений по электронной почте
- Дашборды
- Управление обработкой инцидентов через графические рабочие процессы и плейбуки с возможностью автоматического реагирования и ручного взаимодействия
- Наглядное отображение показателей KPI и ROI
3.24. ThreatConnect SOAR
ThreatConnect — американская компания, специализирующаяся на обработке данных киберразведки, с офисами в США и Великобритании. Продукт ThreatConnect — это платформа, объединяющая решения по управлению киберрисками, управления данными киберразведки и SOAR-решение. В открытом доступе присутствует документация для разработчиков, а также GitHub-репозиторий. Существуют также база знаний и виртуальный тренинговый центр ThreatConnect.
Системные требования для установки ThreatConnect Environment Server:
- 4 ЦПУ
- 4 Гб ОЗУ
- 10 Гб дисковой подсистемы
Требования к программной среде:
- ОС: RHEL 6,7 или CentOS 6,7
- Java 11
- Python 3.6 для Linux
Основные особенности решения:
- Тесная интеграция с данными киберразведки, на сборе которых специализируется компания ThreatConnect, в том числе с глобальной системой сбора индикаторов ThreatConnect’s CAL (Collective Analytics Layer).
- Графический редактор плейбуков и рабочих процессов, в том числе преднастроенных
- Интеграция с более чем 100 ИТ/ИБ-продуктами, в том числе двусторонняя интеграция с SIEM-системами (Micro Focus ArcSight, Splunk, IBM QRadar, LogRhythm, RSA NetWitness, FortiSIEM, McAfee ESM)
- Платформа для совместной работы аналитиков над киберинцидентами
- Корреляция и группирование инцидентов на основе выявленных артефактов, индикаторов компрометации, TTPs
- Предоставляется доступ к REST API ThreatConnect API, передача данных происходит в формате JSON
- Доступ разработчиков к ThreatConnect Exchange App Framework для создания приложений, интеграции, плейбуков, доступ к GitHub-репозиторию, руководства для разработчиков
- Интеграция с матрицей MITRE ATT&CK с классификацией выявленных индикаторов компрометации и TTPs
- Инструменты для общения и совместной работы (встроенные и из набора интеграций)
- Интеграция с системой управления киберрисками ThreatConnect Risk Quantifier для приоритизации инцидентов и уязвимостей
- Ролевая модель разграничения доступа.
3.25. Tines SOAR
Tines — это ирландский стартап с офисами в США и Великобритании, разработчик решения Tines SOAR. Документация присутствует в открытом доступе. Продукт Tines SOAR может быть установлен в облачной и on-prem инфраструктуре.
Основные особенности решения:
- Рабочий процесс называется story (история)
- Универсальный API-коннектор к внешним системам, порядка 90 интеграций на текущий момент, в том числе интеграции с системами совместной работы и обмена сообщениями
- Графический no-code редактор рабочих процессов
- Более 1000 предустановленных действий
- Дебаггер (Story Runs) для рабочих процессов с возможностью просмотра и анализа выполненных автоматических действий
- Выполнение действий в «историях» осуществляется одним из 7 коннекторов (агентов): еmail-агент для отправки сообщений, агент преобразования внутренних событий, HTTP-агент для обмена данными через REST API, IMAP-агент для получения сообщений, агент-триггер для принятия решений, Webhook-агент для получения информации из сторонних систем, агент отправки информации в другую историю
- События обрабатываются в виде JSON-объектов
- Построение отчетности, логирование выполненных действий
- Ролевая модель разграничения доступа (только две роли — администратор и пользователь).
4. Анализ российских SOAR-платформ
4.1. ePlat4m Security GRC
Разработчиком продукта ePlat4m Security GRC является екатеринбургский системный интегратор ООО «Компания Информационных Технологий» (ООО «КИТ»). Решение ePlat4m Security GRC Security реализует функционал автоматизации реагирования на киберинциденты в модуле «Управление инцидентами ИБ». Модуль позволяет автоматизировать процессы регистрации и обработки инцидентов ИБ, создавать оповещения, хранить статистику и результаты проведенных расследований. Кроме модуля реагирования на инциденты, в продукте также присутствует модуль «Центр ГосСОПКА» для организации взаимодействия с НКЦКИ. Документация находится в открытом доступе, но отсутствует полноценное описание механизма реагирования на инциденты, из чего можно сделать вывод, что данный функционал пока находится в состоянии разработки.
Свидетельства и сертификаты системы ePlat4m Security GRC:
- Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
Основные особенности решения:
- Создание инцидентов вручную или автоматически через взаимодействие с подключенными системами
- Применение интеграционных адаптеров для взаимодействия с внешними источниками данных
- Создание и редактирование планов по реагированию на киберинциденты
- Предоставление инструментов работы над инцидентами ИБ
- Отправка оповещений на email, назначение ответственных
- Настраиваемые справочники, отчеты, дашборды (информационные панели), отображение статистики по инцидентам
- Ролевая модель разграничения доступа.
4.2. Jet Signal
Jet Signal — продукт отечественной ИТ-компании «Инфосистемы Джет», который можно использовать для управления инцидентами ИБ. Система Jet Signal, вероятно, была создана для определенного заказчика. Упоминания о компаниях, которые использует продукт, отсутствуют. Документация по Jet Signal, размещенная в открытом доступе на официальном сайте, датируется 2016 годом. Система имеет сертификаты соответствия требованиям безопасности.
Свидетельства и сертификаты системы Jet Signal:
- Свидетельство о государственной регистрации программы для ЭВМ
- Сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны РФ.
Система Jet Signal функционирует на базе ОС Astra Linux, веб-сервера Apache, PHP, СУБД PostgreSQL, RabbitMQ.
Основные особенности решения:
- Ручное и автоматизированное заведение инцидентов, импорт инцидентов из SIEM и других ИТ/ИБ-систем
- Создание планов реагирования на типовые инциденты ИБ
- Классификация, приоритизация инцидентов в ручном режиме, без графического редактора рабочих процессов/плейбуков
- Контроль выполнения нормативов по обработке инцидентов, журналирование выполненных действий
- Постановка задач и контроль выполнения в рамках единого программного интерфейса
- Ведение базы знаний, справочников с нормативной документацией
- Инструменты совместной работы и коммуникации, новостная лента.
4.3. R-Vision IRP
Продукт R-Vision IRP создан компанией R-Vision для автоматизации действий по мониторингу, обработке и реагированию на киберинциденты. Компания также разрабатывает решения для анализа состояния кибербезопасности и выявления аномалий (R-Vision SENSE), для обнаружения атак с помощью ловушек и приманок-ханипотов (R-Vision Threat Deception Platform), для создания центров мониторинга ГосСОПКА (R-Vision IRP для ГосСОПКА), для управления данными киберразведки (R-Vision Threat Intelligence Platform), а также для централизованного управления информационной безопасностью (R-Vision Security GRC Platform). На зарубежный рынок IRP-продуктов компания R-Vision заявлена под брендом Defensys. Актуальная версия продукта R-Vision IRP: 4.5. Интерфейс продукта: русский, английский. Документация предоставляется вендром на русском и английском языках.
Свидетельства и сертификаты системы R-Vision IRP:
- Продукт сертифицирован ФСТЭК России по 4 уровню доверия
- Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
Поддерживаемые варианты установки:
- Установка на физической и виртуальной инфраструктуре (поддержка VMware, VirtualBox, Hyper-V, Xen, Parallels),
- Поддержка режима All-in-one
- Установка распределенных коллекторов.
Системные требования:
Сервер управления:
- 1– 22 ЦПУ
- 8 – 32 Гб ОЗУ
Сервер СУБД:
- 1 – 16 ЦПУ
- 8 – 24 Гб ОЗУ
Коллектор (рекомендуемые значения):
- 4 ЦПУ
- 8 Гб ОЗУ
Требования к программной среде:
Сервер управления, коллекторы:
- CentOS 7, RHEL 7, Astra Linux CE 2.12, AltLinux Альт 8 СП
Сервер СУБД:
- Ubuntu 14/16, CentOS 7, RHEL 7, Windows Server 2012/2016, FreeBSD 11
СУБД:
- PostgreSQL v10 и выше
Основные особенности решения:
- Преднастроенная интеграция с ИТ/ИБ-системами (в т.ч. с SIEM-системами IBM QRadar, Micro Focus ArcSight ESM, MaxPatrol SIEM, McAfee ESM, FortiSIEM), а также интеграция с произвольными системами через механизмы SSH, SOAP, REST API, LDAP, MySQL, MSSQL, PostgreSQL, Oracle DB, Windows cmd, PowerShell, snmp
- Графический редактор плейбуков (сценариев реагирования), ручной и автоматический запуск сценариев реагирования
- Возможность создания инцидента из модуля управления уязвимостями, вручную, по событию из внешних систем
- Связь инцидентов между собой, с активами, задачами; взаимосвязь сценариев реагирования с активами, со значениями полей инцидента
- Поддержка создания скриптов автоматизации на Windows cmd, PowerShell, Linux Shell в проприетарном формате R-Vision
- Логические критерии назначения сценариев реагирования определенным типам киберинцидентов, запуск сценария при создании или изменении инцидента, установка ожидаемых временных метрик реагирования (дата)
- Поддержка разнообразных типов действий по реагированию: уведомление, постановка задачи, назначение ответственных, изменение свойств инцидента, скрипт (выполнение для указанных в инциденте устройств или для всех устройств определенного типа с записью результата выполнения в поля инцидента), решение (ручное с пользовательским выбором, автоматическое при выполнении набора логических условий, новое действие), запрос информации у пользователя, отправка данных в HP SM, запрос информации в IBM QRadar или Micro Focus ArcSight ESM, сканирование указанного в инциденте оборудования, запуск коннектора к ИТ/ИБ-системам с созданием вложений к инциденту как результата работы коннектора, отправка инцидента в АСОИ ФинЦЕРТ, циклическое действие (одно их указанных выше)
- Поддержка работы с системой R-Vision через REST API
- Отправка данных в АСОИ ФинЦЕРТ (формат JSON), возможность формирования инцидента по форме 0403203 ЦБ РФ
- Текстовый поиск по сценариям реагирования с логическими операторами;
- Ролевая модель разграничения доступа
- Отказоустойчивость, высокая доступность
- Поддержка Multitenancy.
4.4. Security Vision IRP/SOAR
Продукт Security Vision Incident Response Platform (IRP/SOAR) создан ГК «Интеллектуальная безопасность» для автоматизации действий по реагированию на киберинциденты. Платформа кибербезопасности Security Vision включает несколько продуктов: реагирование на киберинциденты (Security Vision IRP/SOAR), управление соответствием и контроль ИБ (Security Vision SGRC/auto-SGRC), обеспечение безопасности критической информационной инфраструктуры и работы с ГосСОПКА (Security Vision КИИ), построение SOC-центров (Security Vision SOC), управление киберрисками и оперрисками (Security Vision CRS). На зарубежном рынке IRP-продуктов ГК заявлена под брендом Security Vision. Актуальная версия продукта Security Vision SOAR: 5.x. Интерфейс продукта: мультиязычный. Документация предоставляется вендором на русском и английском языках.
Свидетельства и сертификаты системы Security Vision IRP/SOAR:
- Продукт сертифицирован ФСТЭК России по 4 уровню доверия и ТУ
- Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.
Поддерживаемые варианты установки:
- Установка на физической и виртуальной инфраструктуре (ISO-образ, программный апплайенс, поддержка VMware, VirtualBox, Hyper-V, Xen, Parallels, KVM)
- Поддержка режима All-in-one
- Установка распределенных коннекторов.
Системные требования:
Управляющий сервер:
- 1-12 ЦПУ
- 4-16 Гб ОЗУ
- 500 Гб дисковой подсистемы
Коннекторы:
- 1-2 ЦПУ
- 2-4 Гб ОЗУ
- 1 Гб дисковой подсистемы
СУБД:
- 1-16 ЦПУ
- 4-32 Гб ОЗУ
- 2 Тб дисковой подсистемы
Требования к программной среде:
ОС:
- Windows (Windows Server 2012R2 и выше)
- Linux CentOS 7 и выше
- RHEL 7 и выше
- Ubuntu 14.04 и выше
- Astra Linux
- ALT Linux
- FreeBSD
СУБД:
- MS SQL (SQL Server 2016 и выше)
- PostgreSQL 9.5 и выше
Основные особенности решения:
- Более 80 преднастроенных интеграций с ИТ/ИБ-системами (в том числе двусторонняя), интеграция с SIEM-системами IBM QRadar, Micro Focus ArcSight ESM,McAfee ESM, RSA NetWitness, возможность оперативного подключения СЗИ и любой IT/OT-системы. Интеграция с ИТ/ИБ-системами на высоком уровне абстракции, «прозрачном» для аналитиков
- Преднастроенная интеграция с государственными и отраслевыми центрами реагирования на компьютерные инциденты – ФинЦЕРТ, НКЦКИ
- Интеграция и подключение к внешним ИТ/ИБ-системам через коннекторы с поддержкой механизмов API (REST, SOAP); через протоколы DNS, HTTP, HTTPS, IMAP, MS RPC, NetFlow, POP3, SMTP, SNMP, SSH, SSL, Syslog, TLS; обращение к службам каталогов Active Directory и к СУБД MSSQL, MySQL, Oracle, PostgreSQL; работа через механизмы Windows cmd, Powershell, WMI, интерпретаторы Linux Shell, Python, Java, Java Script, PowerShell
- Графический конструктор коннекторов, с возможностью создания пользовательских коннекторов для подключения к внешним системам
- Графический редактор процессов реагирования. Выполнение действий по реагированию в зависимости от выполнения логических условий
- Настраиваемое рабочее место пользователя (меню, разделы меню, наполнение данных раздела меню) в зависимости от роли в системе и процессах
- Визуализация данных: географическая карта с отображением активов и инцидентов, дашборды, отчёты, построение графа связей сущностей, фигурирующих в киберинциденте
- Обеспечение автоматического контроля выполнения требований регуляторов на базе технологии auto-SGRC
- Контентно-ролевая модель разграничения доступа, гранулированное предоставление доступа ролям пользователей к модулям, разделам, справочникам, представлениям, отдельным свойствам инцидентов, задач и т.д.
- Возможность расширения функционала на единой платформе функциональными модулями: управление активами, управление рисками, управление уязвимостями, управление соответствием (Compliance) и т.д.
- Возможность создания собственных модулей и процессов управления информационной безопасности, не ограничиваясь предустановленными функциональными модулями
- Режим высокой доступности, отказоустойчивости
- Поддержка Multitenancy.
4.5. UserGate
Функции SOAR реализованы в контексте сетевой безопасности в продуктах UserGate 5 — российском NGFW (Next Generation Firewall) с модулями IDS/IPS, VPN-шлюза, SSL-инспекции, обратного прокси, антивируса, защиты email, сбором статистики, с поддержкой анализа событий ИБ (SIEM-функционал).
Решение поставляется в виде аппаратного или программного апплайенса (поддержка VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox).
Свидетельства и сертификаты продукта UserGate 5:
- Сертифицирован ФСТЭК России по требованиям к профилям защиты межсетевых экранов типа А и Б 4 класса защиты
- Сертифицирован ФСТЭК России по требованиям системам обнаружения вторжений 4 класса защиты и по 4 уровню доверия.
Возможность задавать сценарии реагирования на события, зафиксированные в NGFW, реализована следующим образом: сценарии прописываются в виде правил на NGFW, которые срабатывают при наступлении заранее прописанных условий (т.е. событий) и действуют на протяжении определенного временного периода для пользователя или группы пользователей. Например, можно заблокировать трафик для определенного пользователя при срабатывании IDS-сигнатуры, при обнаружении определенного типа трафика (например, файлообменного), при попытке доступа к фишинговому веб-ресурсу.
Поддерживается автоматическая приоритизация инцидентов в зависимости от опасности обнаруженных событий. Также поддерживается взаимодействие с UserGate Log Analyzer — программными и аппаратными апплайенсами для анализа событий ИБ, мониторингу, построению отчетности и статистики.
5. Заключение
Итак, в проведенном анализе SOAR-платформ и систем реагирования на киберинциденты фигурируют 34 различных решения: бесплатные и коммерческие, российские и зарубежные.
В рамках анализа SOAR-платформ мы предлагаем не придавать принципиального значения количеству интеграций какого-либо решения с внешними ИТ/ИБ-системами на текущий момент, поскольку список поддерживаемых продуктов пополняется производителями едва ли не ежедневно. Лучше уделить внимание поддерживаемым продуктом механизмам и протоколам для возможности быстрой интеграции (самостоятельно или с помощью вендора) с используемыми в вашей инфраструктуре системами. Ровно по тем же причинам не стоит концентрироваться на количестве преднастроенных рабочих процессов и плейбуков, лучше обратить внимание на возможность и удобство создания собственных кастомных сценариев реагирования, которые будут соответствовать порядку обработки киберинцидентов непосредственно в вашей организации.
Все представленные в нашем обзоре бесплатные решения могут закрыть некоторые потребности небольших отделов ИБ в инструментах совместной работы и частичной автоматизации процессов реагирования на киберинциденты, но всё же лидерами среди опенсорсных решений мы считаем продукты Cyphon и TheHive. Кроме того, некоторые вендоры предлагают бесплатные Community Edition своих коммерческих продуктов: FortiSOAR, PaloAlto Cortex XSOAR, Siemplify, Splunk Phantom, Tines SOAR. Это может пригодиться тем командам, которые сочтут лицензионные и функциональные ограничения таких версий приемлемыми.
Коммерческие зарубежные SOAR-платформы можно условно разделить на комплексные решения, интегрированные в SIEM-системы или ИТ-платформы, и на специализированные продукты, которые не привязываются к какой-либо платформе или экосистеме. Так, например, решения Cisco SecureX, Fortinet FortiSOAR, IBM Security SOAR, LogRhythm RespondX, Micro Focus ArcSight SOAR, Rapid7 InsightConnect, RSA NetWitness Orchestrator, ServiceNow Security Operations, Splunk Phantom обладают очень широким функционалом, но их эффективность гарантированно раскроется только при работе в составе соответствующих экосистем. Среди специализированных продуктов производителей можно отметить решения D3 SOAR, Siemplify и Swimlane, которые обладают широкими интеграционными и функциональными возможностями. Нельзя также не обратить внимание и на стартапы (Blumira, Cyware, Tines), которые за 1-2 года могут «вырасти» в крупных игроков и начать конкурировать с именитыми производителями SOAR-решений.
Анализ российских SOAR-платформ показал, что полноценных и активно развивающихся решений для управления киберинцидентами на отечественном рынке фактически всего два: R-Vision IRP и Security Vision IRP/SOAR. Оба игрока конкурируют как в сегменте IRP-решений, так и на рынке SGRC-продуктов. Оба предлагают полноценные платформы для комплексного управления информационной безопасностью: управление активами, уязвимостями, киберинцидентами, киберрисками, данными киберразведки и соответствием законодательству. Оба продукта имеют сертификаты ФСТЭК России и могут использоваться для обеспечения ИБ в значимых объектах КИИ 1-ой категории, в ГИС 1-ого класса защищенности, в ИСПДн с 1-ым уровнем защищенности персональных данных.
В портфеле R-Vision есть продукт для анализа состояния кибербезопасности и выявления аномалий R-Vision SENSE. В линейке Security Vision есть модуль по работе с BigData, применяющий методы машинного обучения и искусственного интеллекта для автоматического реагирования на киберинциденты.
В портфеле R-Vision есть продукт для обнаружения атак с помощью ловушек и приманок-ханипотов Threat Deception Platform. В Security Vision есть модуль по управлению оперрисками в соответствии с 716-П. Стоит отметить авторскую технологию Security Vision Auto-SGRC, которая позволяет осуществлять интеграцию с практически всеми существующими IT/OT-системами и получать из них события ИБ, отправлять управляющие команды для изменения конфигурации, выполнять действия по поиску, сдерживанию, устранению киберугроз и по восстановлению систем в до-инцидентное состояние.
В целом, и отечественный, и зарубежный рынок SOAR-платформ ещё далек от насыщения. Появляются новые игроки и новые интересные функции. Широкое применение в реагировании на инциденты ИБ находят системы обработки данных киберразведки, поиска киберугроз, анализа аномалий, EDR и XDR-решения, результаты работы которых дополняют возможности IRP/SOAR-платформ. Можно заключить, что SOAR-решения могут принести ощутимую пользу как в части сокращения времени реагирования на киберинциденты и, следовательно, уменьшения потенциального ущерба от кибератаки, так и в части снижения рутинной нагрузки на аналитиков ИБ для высвобождения их ценного временного ресурса для более интересных задач и уменьшения текучки кадров.