СКДПУ НТ теперь может реагировать на инциденты безопасности

В продукте СКДПУ НТ Мониторинг и аналитика, который входит в комплекс  СКДПУ НТ, появилась функция реагирования на инциденты.

С расширением линейки продуктов компания «АйТи Бастион» реализовала возможности по аналитике событий внутри сессий удаленного доступа и определению инцидентов информационной безопасности на основе поведенческих моделей в действиях пользователей.

Следующим шагом стало оперативное реагирование на уже выявленные инциденты и увеличение скорости реакции на них в автоматическом режиме.

Технологически это выглядит следующим образом: продукт фиксирует инцидент  в массиве полученных из сессий «сырых» данных. В случае обнаружения критичного инцидента, заданного условиями, система передает его на обработку специальному скрипту. Далее скрипт на основе полученных данных и заданного алгоритма обработки инцидента осуществляет дальнейшее взаимодействие с внешними системами средствами взаимодействия через их встроенные API. Внешними системами могут быть как решения классов SOAR/IRP или другое активное оборудование, так и непосредственно часть комплекса СКДПУ НТ, а именно Шлюз доступа, где была зафиксирована аномальная активность.

Реакции на инцидент могут быть выбраны и изменены заказчиком под любой доступный сценарий в рамках возможностей API внешнего сервиса. К примеру, при взаимодействии с СКДПУ НТ Шлюз доступа это могут быть: закрытия сессии, блокировки пользователя, смена пароля, отзыва его разрешения на доступ и другие сценарии.

«Это тот функционал, который, несомненно, будет востребован у эксплуатирующих продукт заказчиков. Реагировать на паттерны все умеют давно, а определять инциденты и реагировать на них это на порядок сложнее. Теперь наш продукт СКДПУ НТ Мониторинг и аналитика не только умный, но и сильный», - комментирует технический директор «АйТи Бастион» Дмитрий Михеев.