1. Главная
  2. Новости
  3. Все новости по кибербезопасности (ИБ)
  4. Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг

Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг

Security Vision сообщает о выходе обновления SOAR: локальный ИИ-ассистент, ML-summary и ML-скоринг

Security Vision SOAR — комплексное решение для управления и автоматизации обработки инцидентов информационной безопасности на всех стадиях жизненного цикла согласно лучшим практикам по NIST/SANS: подготовка, выявление, анализ, сдерживание, устранение, восстановление, постинцидент.

Ключевые особенности Security Vision SOAR

  • Объектно-ориентированный подход к реагированию: каждый элемент инцидента (хост, учётная запись, процесс, артефакт) рассматривается как объект со своими атрибутами, историей, связями и доступными действиями.
  • Динамические плейбуки: сценарии расследования и реагирования адаптируются по мере изменения контекста инцидента — при появлении новых объектов, техник MITRE ATT&CK, результатов анализа и обогащения.
  • Построение Kill Chain: механизм автоматически объединяет инциденты в единую последовательность этапов (в том числе с помощью дополнительных запросов недостающих сведений), показывает путь злоумышленника и эволюцию атаки.
  • Экспертные рекомендации: система подсказывает какие должны быть следующие шаги обработки инцидента. Учитывается контекст инцидента и накопленный опыт внутри SOC. На основе экспертной базы и ML-моделей оценивается вероятность FP, система находит схожие инциденты и рекомендуют действия, выполнявшиеся в подобных кейсах.

Функционал оркестрации, аналитики и управления процессами

Security Vision SOAR обеспечивает оркестрацию средств защиты, аналитических сервисов и объектов инфраструктуры:

  • Интеграции с СЗИ: основными источниками инцидентов выступают SIEM, EDR, AV, NGFW, WAF, антиспам и другие классы решений. Большинство интеграций двусторонние — от получения данных до активного реагирования из единой консоли управления.
  • Взаимодействие с активами: модуль управления активами поддерживает идентификацию, инвентаризацию и получение данных как через внешние системы, так и при прямом обращении к объектам инфраструктуры.
  • Обогащение артефактов: в продукт заложен богатый набор интеграций как с общедоступными, так и работающими по подписке аналитическими сервисами.
  • Аналитические инструменты: встроенные сервисы аналитики оценивают зоны потенциального воздействия и возможные направления развития инцидента, а также выполняют автоматическую связку инцидентов с TI-бюллетенями.
  • Расчет достижимости активов: система автоматически выстраивает маршруты до наиболее критических и стратегических активов Компании, позволяя прогнозировать развитие атаки и будущих действий злоумышленника.
  • Встроенная система задач с жизненным циклом и интеграция с популярными системами заявок/ITSM (Jira, Naumen, OTRS и др.) позволяют координировать работу SOC и взаимодействовать со смежными подразделениями в едином контуре.

Новый функционал, добавленный в релизе

Локальный ИИ-ассистент: помощь с учётом контекста инцидента — полностью в контуре заказчика

В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения.

Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре Заказчика.

ИИ-ассистент поможет в таких вопросах, как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего.

Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности.

ML-скоринг критичности инцидентов

В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC.

Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов.

456456.png

ML-summary - автоматический отчет по инциденту: единый стандарт итогов расследования

При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая:

  • что произошло;
  • что было сделано при расследовании;
  • какие действия были предприняты;
  • какой получен результат;
  • удалось ли что-то атакующему.

Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности.

Эффект для SOC и ИБ-подразделений

Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя:

  • быстрее интерпретировать события и артефакты;
  • получать более точные рекомендации по реагированию;
  • снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов;
  • сократить время на триаж инцидентов благодаря ML-оценке критичности;
  • снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Порядка 30% заявлений об утечках из российских госорганов в 2025 году оказались фейковыми
Порядка 30% заявлений об утечках из российских госорганов в 2025 году оказались фейковыми

Согласно аналитике центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», число утечек баз данных российских компаний в 2025 году снизилось на 23% по сравнению с 2024 годом — до 367 инцидентов.

подробнее Стрелочка
Похититель криптовалюты на $46 млн у Службы маршалов США арестован на Сен-Мартене
Похититель криптовалюты на $46 млн у Службы маршалов США арестован на Сен-Мартене

Французская жандармерия при содействии ФБР задержала на острове Сен-Мартен Джона Дагиту, подрядчика правительства США, обвиняемого в хищении более $46 млн в криптовалюте у Службы маршалов США (U.

подробнее Стрелочка
Состоялось первое в этом году заседание Экспортного совета при Губернаторе Санкт-Петербурга с участием экспертов компании «Газинформсервис»
Состоялось первое в этом году заседание Экспортного совета при Губернаторе Санкт-Петербурга с участием экспертов компании «Газинформсервис»

При участии более 100 представителей компаний Санкт-Петербурга, в том числе ООО «Газинформсервис», состоялось первое в 2026 году заседание Экспортного совета при Губернаторе города.

подробнее Стрелочка
«Газинформсервис» усиливает повестку безопасности 1С на INFOSTART TEAM EVENT 2026
«Газинформсервис» усиливает повестку безопасности 1С на INFOSTART TEAM EVENT 2026

Компания «Газинформсервис», разработчик российских продуктов в области кибербезопасности, впервые примет участие в INFOSTART TEAM EVENT 2026 в Москве в статусе партнёра секции «Кибербезопасность и защита данных» и представит собственный стенд.

подробнее Стрелочка