LikaSvoykina Aug 6 2021 at 16:10

TheHive и Security Vision

3 min

11K

Information Security*IT Infrastructure*

From sandbox

Comments 13

olegtsss Aug 6 2021 at 17:58

Каким образом SOAR получают информацию о состоянии систем?

LikaSvoykina Aug 6 2021 at 18:11

Например, с помощью коннекторов, как это реализовано в SV. Коннекторы (устанавливаются локально или на удаленных серверах) интегрируются с внешними системами допустим по API, и подгружается вся необходимая информация в карточки инцидентов

LikaSvoykina Aug 6 2021 at 18:27

Или SIEM - может отсылать информацию по syslog, а дальше SOAR может запрашивать (обогощать) информацию по сработке средствами внешних коннекторов и также производить взаимодействие по API для управления.

LikaSvoykina Aug 7 2021 at 00:53

*обогащать

13oz Aug 8 2021 at 19:09

Вообще, soar - это не про состояние систем, ему вообще не важно, в каком она состоянии. SOAR, в корне своем, это некоторый набор скриптов, который автоматизирует работу безопасника. Да, большие вендора любят прикручивать к ним красивый гуй, модный графический редактор и т.д., но суть от этого не меняется.

Ближе всего к soar-ам, наверно, config manager-ы типа ansible, teraform, etc

LikaSvoykina Aug 9 2021 at 00:07

Не про состояние, но подгружать инфу может

13oz Aug 8 2021 at 19:13

Ну, такое себе сравнение. Все-таки Hive - это просто тикетница, automation и orchestration там пока не сделали. Cortex только позволяет добавить какой-то контекст, на сколько я помню, возможность выполнения скриптов на целевых хоста туда пока не добавили.

Гораздо интереснее было бы сравнить с R-Vision-овским IRP, или Demisto

LikaSvoykina Aug 9 2021 at 00:10

На самом деле Hive много чего может, сейчас есть множество респондеров, плюс интеграция с MISP расширяет функционал. Но да автоматизация - не главное преимущество.Я выбрала для сравнения эти 2 платформы, так как непосредственно с ними работала

13oz Aug 9 2021 at 08:14

На самом деле Hive много чего может, сейчас есть множество респондеров, плюс интеграция с MISP расширяет функционал. Но да автоматизация - не главное преимущество.

MISP тут особо не при чем - это же просто TI-платформа, реагирование он никак не автоматизирует, только сбор дополнительной информации.

А что до его респондеров... Ну, да, они есть :) Если очень постараться, можно даже заставить их работать.

КМК, главное его, Hive-а, преимущество - он (а) open-source, а это всегда хорошо, и (б) простой, как валенок. Да, у него нет многих фишек, плюшек и возможностей, но если вы только-только запускаете у себя процесс IR, то оно вам и не надо. Вам надо что-то простое, что-то, с чем можно работать вот прям сразу. А слезть с Hive на что-то большое всегда можно.

olegtsss Aug 9 2021 at 03:48

Graylog тоже вроде умеет делать тикеты (аллерты).

13oz Aug 9 2021 at 08:17

Graylog умеет делать алерты, но на этом примерно всё. Плюшки irp/soar-систем в интеграция для сбора дополнительной информации или уже реагирования.

antonberk Aug 17 2021 at 13:24

Анжелика Свойкина, Пресейл-инженер в компании Security Vision. Это объясняет многие выводы в этой статье.

LikaSvoykina Aug 17 2021 at 13:25

Да, работаю, а до этого работала с Hive, где настраивала его и внедряла)