ISOC IRP

Мониторинг, обработка и реагирование на инциденты безопасности

Система ISOC IRP выполняет поиск и обработку обнаруженных инцидентов информационной безопасности. Система может функционировать в сети клиента или предоставляется как услуга. Система позволяет клиенту повысить отказоустойчивость информационных систем и снизить затраты на выявление и защиту от угроз информационной безопасности. ISOC IRP круглосуточно и в автоматическом режиме выявляет и устраняет нарушения в работе ключевых элементов сетевой и информационной инфраструктуре клиента, позволяет реагировать на известные и новые угрозы информационной безопасности.

Сбор и обработка событий ИБ

Источниками событий для ISOC IRP являются объекты информационной и сетевой инфраструктуры. Данные от источников событий можно собирать либо с помощью специальной программы-агента или напрямую, используя собственные средства сбора источника. Все собранные данные передаются в подсистему хранения и нормализации, построенную на инструментах обработки больших данных . Затем данные проходят процедуру корреляции и выявления угроз.

Управление инцидентами ИБ

Система в автоматическом режиме выявляет инциденты информационной безопасности на основе собранных данных. Все инциденты имеют приоритет, для каждого типа инцидента предусмотрен свой алгоритм реагирования и обработки. Пользователь может создавать новые алгоритмы реагирования и добавлять сценарии выявления инцидентов.

Автоматическая обработка инцидентов ИБ

ISOC IRP в автоматическом режиме выявляет, верифицирует и реагирует на инциденты информационной безопасности. Система строит статистические модели работы информационных систем и использует исторические данные для выявления отклонений. Встроенные обезличенные шаблоны повторяющихся событий упрощают адаптацию системы к особенностям бизнес-процессов конкретного клиента, что сокращает трудозатраты на внедрение.

Выявление новых угроз ИБ

Используя различные доступные источники данных (публичные и коммерческие сервисы выявления угроз, результаты анализы вредоносной активности в интернете, отчеты и данные экспертов по информационной безопасности), система собирает и унифицирует информацию о новых угрозах в единой базе данных. Это позволяет дорабатывать алгоритмы выявления инцидентов и угроз. Эти данные применяются для ретроспективного анализа базы знаний и выявления новых инцидентов и неизвестных ранее атак.

Визуализация результатов

Система оповещает пользователей о событиях в инфраструктуре, а также позволяет получить разнообразные данных о работе системы в наглядном виде: состояние системы, потоки событий, количество и типы инцидентов за выбранный промежуток времени вплоть до просмотра подробных данных о выбранном инциденте и состоянии связанных с ним информационных систем. Пользователи также могут просматривать данные о доступности узлов и сервисов своей инфраструктуры. Отчет о работе системы можно сформировать в формате DOCX или PDF и с помощью расписания отправлять его на электронную почту.

Масштабирование

Система подстраивается под требования клиентов и может работать как с крупными, так и с небольшими сетевыми инфраструктурами. Кроме того, в процессе использования ISOC IRP клиент может добавлять новые узлы и сервисы для мониторинга, источники событий, а также изменять ширину потока обрабатываемых событий без изменения архитектуры системы.
Количество хранимых данных можно изменять горизонтально, добавляя новые аппаратные компоненты.

Безопасность

Система обеспечивает целостность, конфиденциальность и доступность хранимой информации. Для этого используются стойкие алгоритмы шифрования, а также применяются принципы разграничения потоков данных и полномочий пользователей. Эти принципы используются для передачи данных между компонентами ISOC IRP.