IRP и SOAR MEDOED — автоматизация реагирования и оркестрация безопасности

IRP и SOAR MEDOED —
автоматизация реагирования и оркестрация безопасности

Модуль MEDOED IRP/SOAR представляет собой решение по реагированию на инциденты информационной безопасности. MEDOED — российская платформа, разработанная для соответствия требованиям регуляторов и законодательства.

Решение позволяет:

Регистрировать инциденты информационной безопасности
Запускать сценарий реагирования на инцидент
Запускать сценарий расследования
Подготовить итоговый отчёт (карточку) по инциденту

Что такое IRP и SOAR?

IRP (Incident Response Platform) — платформа реагирования на инциденты безопасности.

SOAR (Security Orchestration, Automation and Response) — более широкий класс решений, включающий в себя IRP, и дополнительно позволяющий обеспечить:

Интеграцию с другими техническими решениями, например, SIEM, EDR и Threat Intelligence
Запуск скриптовых действий и плейбуков
Оркестрацию и взаимодействие между различными системами

Также SOAR предоставляет возможность подготовить расширенную аналитику.

В платформе MEDOED модули объединены для упрощения управления.

Зачем бизнесу объединение IRP и SOAR

Любая организация сталкивается с инцидентами кибербезопасности на постоянной основе. Однако одни организации фиксируют инциденты, проводят их анализ и предпринимают попытки снизить вероятность значимого инцидента, а другие нет.

Как следствие, часть компаний снижают риски информационной безопасности, а другие нет.

Как IRP и SOAR помогают снизить риски информационной безопасности?

Снижается среднее время восстановления систем (mean time to repair — MTTR)
Сокращается время реагирования на инциденты и автоматизируется весь процесс обработки инцидентов
Данные об инцидентах собираются и анализируются в одном месте удобным инструментом
Собирается статистика и формируется инцидент-профиль для конкретной организации
Выявляются недостатки в системе обеспечения информационной безопасности
У службы информационной безопасности появляется возможность отследить нетипичные и опасные инциденты
Появляется простой и удобный инструмент для соответствия отдельным требованиям законодательства и регуляторов

Сравнение времени реагирования на инциденты (часы)

Функциональные возможности MEDOED IRP + SOAR

Ведение карточки инцидента с возможностью добавления сведений на усмотрение пользователя
Журналирование изменений и разграничение доступа
Интеграция с SIEM, IDS/IPS, EDR, DLP
Готовый playbook реагирования и оповещение участников расследования в реальном времени
Управление инцидентами информационной безопасности в одном месте
Постинцидентный анализ и возможность выгрузки данных для передачи в правоохранительные органы

Интеграции с системами безопасности:

SIEM

IDS/IPS

EDR

DLP

Преимущества внедрения MEDOED IRP + SOAR

Быстрое развёртывание

Первые результаты в модуле IRP/SOAR от MEDOED — уже через несколько часов работы. Полное развёртывание обычно занимает не более нескольких дней.

Шаблоны + кастомизация

Готовые сценарии и плейбуки из коробки, плюс гибкая настройка собственных процессов под требования клиента.

Свой SOC на базе MEDOED

Возможность развернуть собственный SOC с последующей оркестрацией и автоматизацией реагирования.

Отечественное решение

Локализация и адаптация под российские реалии: разработано для отечественных компаний с учётом регуляторных требований.

Расследование утечек

Проведение расследований инцидентов с персональными данными «из коробки», без доработок.

Глубокая интеграция

Полная совместимость и обмен данными с экосистемой MEDOED для единого контура управления ИБ.

Как работает IRP + SOAR MEDOED

Для реагирования на киберинциденты предусмотрена следующая последовательность действий в рамках готового сценария:

Внедрение комплекта организационно-распорядительной документации

Создание группы реагирования и их подключение к системе

Формирование карточки инцидента при появлении инцидента (как ручной ввод, так и создаваемые под пользователя интеграции, например, с SIEM посредством API, syslog или иных коннекторов)

Автоматизированное реагирование с playbook

Внесение данных в карточку и журнал инцидентов

Напоминание участникам о задачах и сроках

Анализ данных и создание печатной формы

Закрытие инцидента

Интеграция с другими модулями MEDOED

Инцидент информационной безопасности — одна из основных сущностей в платформе MEDOED. Чем больше модулей использует пользователь, тем большей автоматизации процессов удаётся достигать.

При использовании полного набора модулей MEDOED, платформа реагирования на инциденты получает следующие возможности:

Доступ к сведениям об установленном на рабочих станциях и серверах оборудовании и ПО, а также журналу их изменений (SAM, ITAM)
Просмотр результатов обучения пользователей курсам по информационной безопасности (LMS)
Доступ к оценке возможных последствий для ИСПДн (модуль ПДн в SGRC)
Все преимущества единого центра управления ИБ

Имея под рукой вышеперечисленные сведения, пользователь может добиться 70% результата посредством приложения 30% усилий. Единый центр управления на платформе MEDOED позволяет организовать работу отдела ИБ не только в части инцидентов, но и текущей нагрузки по выполнению рутинных задач.

FAQ о IRP и SOAR

Что включает IRP + SOAR от MEDOED?

Модуль реагирования на инциденты включает в себя основную документацию, playbook реагирования и формы для ведения жизненного цикла инцидентов.

Как быстро можно внедрить решение?

Установка решения занимает несколько часов при предоставлении доступа нашим специалистам. Первичная настройка проводится в течение часа после завершения установки. Если необходимо установит другие модули, требующие агента MEDOED, то, при наличии групповых политик, задача также решается в пределах нескольких часов.

Можно ли интегрировать с существующим SIEM?

Да, MEDOED не является SIEM-системой, однако имеет возможности передавать данные во все популярные российские SIEM.

Чем отличается от зарубежных аналогов?

Зарубежные решения не учитывают особенности российской регуляции, в частности требований по расследованию инцидентов с персональными данными. В MEDOED встроены формы, которые требуют российские регуляторы. Помимо этого, поддерживаются основные отечественные операционные системы.