В продукте СКДПУ НТ Мониторинг и аналитика, который входит в комплекс СКДПУ НТ, появилась функция реагирования на инциденты.
С расширением линейки продуктов компания «АйТи Бастион» реализовала возможности по аналитике событий внутри сессий удаленного доступа и определению инцидентов информационной безопасности на основе поведенческих моделей в действиях пользователей.
Следующим шагом стало оперативное реагирование на уже выявленные инциденты и увеличение скорости реакции на них в автоматическом режиме.
Технологически это выглядит следующим образом: продукт фиксирует инцидент в массиве полученных из сессий «сырых» данных. В случае обнаружения критичного инцидента, заданного условиями, система передает его на обработку специальному скрипту. Далее скрипт на основе полученных данных и заданного алгоритма обработки инцидента осуществляет дальнейшее взаимодействие с внешними системами средствами взаимодействия через их встроенные API. Внешними системами могут быть как решения классов SOAR/IRP или другое активное оборудование, так и непосредственно часть комплекса СКДПУ НТ, а именно Шлюз доступа, где была зафиксирована аномальная активность.
Реакции на инцидент могут быть выбраны и изменены заказчиком под любой доступный сценарий в рамках возможностей API внешнего сервиса. К примеру, при взаимодействии с СКДПУ НТ Шлюз доступа это могут быть: закрытия сессии, блокировки пользователя, смена пароля, отзыва его разрешения на доступ и другие сценарии.
«Это тот функционал, который, несомненно, будет востребован у эксплуатирующих продукт заказчиков. Реагировать на паттерны все умеют давно, а определять инциденты и реагировать на них это на порядок сложнее. Теперь наш продукт СКДПУ НТ Мониторинг и аналитика не только умный, но и сильный», — комментирует технический директор «АйТи Бастион» Дмитрий Михеев.