Эта платформа реагирования на инциденты (Incident Response Platform), разработана российской компанией Positive Technologies в формате полного соответствия с рекомендованной методикой по формированию центров ГосСОПКА. Принятие корректного решения относительно того или иного события безопасности – нетривиальный процесс, требующий от сотрудников службы информационной безопасности достаточных компетенций. Текущий продукт способен фиксировать и обрабатывать такие инциденты, одновременно ставя в известность НКЦИ.
Основные задачи для PT Ведомственный центр
В условиях больших и разнонаправленных потоков информации о событиях в системах безопасности сотрудникам службы ИБ требуется очень много времени, не только на обработку, но даже на распределение задач для IT-специалистов. Задействуются сотрудники отделов ИБ, системные администраторы, руководство и владельцы IT-инфраструктуры. Продукт Positive Technologies ускоряет и упрощает все связанные с координацией деятельности персонала процессы.
Возможности ПТ Ведомственный центр
Автоматизированное получение и накопление базы знаний, позволяющих выстроить тактику и стратегию реагирования на киберугрозы и другие события, возникающие в пространстве защиты IT-инфраструктур – основа механизма этого программного обеспечения. Вот основные функции доступные в настоящее время:
- сбор сведений об инцидентах;
- фиксация событий посредством создания карточек как в автоматическом, так и в ручном виде;
- принятие решений, касающихся подозрительной активности, обнаружения уязвимостей и других проблем;
- установление причин события и зоны распространения, выработка мер по устранению негативного контекста, контроль на каждом этапе процесса;
- осуществление обратной связи с корневым филиалом ГосСОПКА;
- выполнение полученных из центрального подразделения ГосСОПКА рекомендаций в ходе наблюдения за состоянием безопасности информационной среды.
Интеграционное API
Продукт предлагает расширенный инструментарий, повышающий эффективность менеджмента инцидентов. Благодаря мощной системе настроек PT Ведомственный центр легко адаптировать к решению уникальных задач в рамках конкретной IT-инфраструктуры. В частности, наличие блока конфигурирования позволяет:
- менять формы карточек событий безопасности;
- добавлять в карточки поля и предфильтры;
- разрабатывать и выполнять сценарии автоматизации;
- автоматически формировать задачи для операторов;
- создавать собственные фильтры задач реагирования и сроки выполнения;
- получать почтовые уведомления об инцидентах.
Особую гибкость решению придают предусмотренные механизмы и каналы обмена информацией и API внедрения. API открывает возможность разрабатывать собственные коннекторы к источникам данных. Так для приема сведений из объединенных систем ИБ (SIEM) можно использовать Integration API сервис.
