Инциденты из «СёрчИнформ КИБ» теперь доступны в IRP R-Vision

01.02.2022 |

Контроль ИБ-инцидентов, выявленных DLP-системой «СёрчИнформ КИБ», теперь доступен в R-Vision Incident Response Platform (IRP). Благодаря интеграции ИБ-специалист может работать в одной консоли – SOC-системы. Это позволяет сократить время реагирования на инцидент.

«СёрчИнформ» реализовала интеграцию своей DLP-системы «СёрчИнформ КИБ» с SOC-системой R-Vision. R-Vision IRP представляет собой автоматизированный центр мониторинга, обработки и реагирования на инциденты информационной безопасности. Программа собирает информацию об инцидентах из разных систем (DLP-систем, SIEM-систем и т.д) и предоставляет её в едином окне оперативного реагирования. Это позволяет не только повысить скорость реакции на инциденты, но и оценить их в комплексе с событиями смежных систем безопасности.

Для подключения интеграции пользователям «СёрчИнформ КИБ» достаточно выбрать соответствующую настройку в меню AlertCenter – консоли для работы с инцидентами, создать и настроить правило взаимодействия. После этого инциденты будут передаваться в понятном для IRP R-Vision виде. Например, при отправке сотрудником по почте конфиденциальной информации конкурентам, уведомление об инциденте придёт не только в «СёрчИнформ КИБ», но и продублируется в платформе R-Vision. В SOC-системе будет отображаться инцидент с теми атрибутами, которые были настроены раньше: тип инцидента, дата создания, уровень опасности, статус и прочая подробная информация о зафиксированном событии.

«Ранее мы отдавали инциденты через syslog или SMTP, это было неудобно. Во-первых, такой способ интеграции обеспечивал одностороннюю связь, то есть КИБ передавал инцидент, но отобразит ли корректно его SOC-система было не ясно. Сейчас же системы без проблем «понимают» друг с другом. Во-вторых, через syslog или SMTP можно было передать далеко не все интересующие пользователя данные. Кроме того, каждому заказчику для разбора инцидентов приходилось совершать однотипные действия: вручную настраивать пересылку, создавать правила обработки и визуализации. Текущая же интеграция существенно упрощает работу за счёт стандартизации, формат которой был выработан «СерчИнформ» совместно с «R-Vision». Заказчику достаточно произвести несколько кликов в интерфейсе КИБа, после чего инциденты сразу начнут поступать в R-Vision», – комментирует Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

В планах «СёрчИнформ» интегрировать в платформу R-Vision ещё одну консоль КИБа – Analytic Console, которая собирает всю информацию по пользователю и служит для поиска и углубленного анализа собранных данных, а также для наблюдения за компьютерами работников в режиме реального времени. Благодаря этому через SOC-систему можно будет не только контролировать инциденты, но и расследовать их.