Работая в SOC, я постоянно сталкивалась с закрытием однотипных кейсов из SIEM, с шаблонными действиями, например, проанализировать файл на Virus Total, заблокировать учетную запись в Active Directory, собрать информацию об активности хоста с межсетевого экрана и т.д.
SOAR (Security Orchestration, Automation and Response) - решение используется как раз для автоматизации рутинных действий. То есть оператор SOC уже не заходит постоянно на разные СЗИ, ему в этом помогает SOAR, автоматизируя работу.
Я имела опыт с двумя решениями: open source TheHive и Security Vision (российская разработка). Так как многие интересуются в чем их конкретные различия, попытаюсь их сравнить.
TheHive
TheHive - система инцидент менеджмента. Состоит из двух основных модулей TheHive (платформа регистрации, обработки и работы над инцидентами) и Cortex (платформа для анализа и обогащения информации).
Установить TheHive можно используя докер, установка достаточно проста, процесс описан в документации на GitHub
Создание инцидентов по умолчанию вручную, заполняются следующие поля:
Severity – классификация угрозы инцидента (L – низкий, M – средний, H – высокий);
Tags – набор тегов для быстрого поиска;
Date – дата и время регистрации инцидента;
TLP – протокол для обмена конфиденциальной информацией
Можно создавать шаблоны, в которых будет автоматически подгружена требуемая информация.
Карточки с инцидентами можно наполнять ( подгружать информацию с других источников, у которых есть API, например). Для этого нужно установить Cortex, в котором нужно настроить анализаторы, многие доступны по умолчанию, их база постоянно пополняется
Вызов анализаторов в TheHive происходит вручную, можно в карточке инцидента подгрузить отчет с разных систем, не заходя на них.
Доступны многие типовые действия, но для того, чтобы синтегрировать с конкретно вашим антивирусом или ActiveDirectiory и т.д., анализаторов Cortex не хватит, придется с 0 писать код на Python, понимать особенности реагирования на тот или иной инцидент.
В целом, платформа достаточно проста, несложно установить и начать использовать. Но для автоматизированного реагирования и появления кейсов, нужно приложить немало времени. Потребуется специально обученный под это человек, со знанием скриптовых языков и особенностей инфраструктуры. Так как платформа бесплатная, документация достаточно общая, нужно потратить довольно много времени на сбор нужной информации, нет тех. поддержки.
Security Vision
Security Vision - российская SOAR платформа, автоматизирует реагирование на инциденты информационной безопасности, используя рабочие процессы.
Благодаря графическому движку, можно задавать сценарий последовательности действий реагирования на инциденты ИБ ( никакого написания скриптов на Python))
Заведение инцидентов тоже происходит автоматизированно, подгружается информация с SIEM, с антивируса, межсетевого экрана и согласно логике рабочего процесса происходит реагирование на кейс, без участия оператора.
Множество встроенных интеграций доступно из коробки. Если нужно подключить какое либо другое СЗИ или SIEM, можно воспользоваться разделом коннекторов ( как правило это несложно и достаточно быстро)
Географическая карта с направлением атак
Для установки потребуется три сервера - для базы данных, коннекторов и веб-сервера. Новая версия обещает быть кроссплатформенной.
Я решила не вдаваться в технические детали, а описать принципиальные различия. Резюмируя, TheHive - хорошая платформа, но кастомные решение требуют детального описания (технического писателя), разработка и актуализация интеграций ложится на внутреннюю команду. Плюсом является простота в установке ( вызов докер контейнера), бесплатное решение, постоянные обновления.
Security Vision SOAR в работе оператора SOC, оно бы мне точно пригодилось. Понятная настройка рабочих процессов, используя блок схемы, огромное количество встроенных интеграций, простота добавления новых, неплохие дашборды, российское решение.
