Компания R-Vision анонсировала масштабное обновление своей платформы для автоматизации и повышения эффективности SOC, получившей с выходом новой версии название R-Vision SOAR (ранее – R-Vision IRP). В версии 5.0 появился большой блок функциональных обновлений: в частности, расширены возможности продукта по взаимодействию с ГосСОПКА, реализована работа с группами инцидентов, индикаторами компрометации и др. Улучшен также пользовательский интерфейс.

Смена названия, поясняют в компании, подчеркивает уровень зрелости программного продукта, функционал которого уже вышел за рамки решений класса IRP (Incident Response Platform) и соответствует требованиям класса SOAR (Security Orchestration, Automation and Response).

Одним из ключевых в обновленной версии стал функционал взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА): появилась возможность переписки с оператором НКЦКИ по отправленным и полученным инцидентам. Теперь из ГосСОПКА можно получать инциденты, ранее зарегистрированные вне системы, а также создавать инциденты на базе входящих уведомлений от НКЦКИ для оперативной отработки информации от регулятора. В сценариях реагирования можно настроить автоматическое заполнение карточки ГосСОПКА данными по инциденту и его дальнейшую отправку в ГосСОПКА.

Существенные изменения коснулись функционала управления инцидентами. В R-Vision SOAR 5.0 появилась возможность объединять инциденты в группы, что позволяет удобно обрабатывать ситуации, когда несколько инцидентов связаны между собой. Внутри группы инцидентов можно настроить правила автозаполнения полей – например, наследовать статус родительского инцидента в дочерние или просуммировать величину ущерба из дочерних инцидентов в родительский. Еще одно важное нововведение – поддержка индикаторов компрометации (IoC) в виде специального раздела в карточке инцидента и возможность вывода данных по индикаторам на дашборды.

Для удобства работы с системой добавлены отображение сценариев в виде наглядного таймлайна, кнопка для запуска сценария прямо из карточки инцидента, возможность настроить обязательные поля при смене статуса обработки инцидента и многое другое.

Работа с основными сущностями системы через программный интерфейс REST API была реализована в предыдущих версиях R-Vision SOAR. В 5-й версии возможности API стали еще шире, что позволяет бесшовно встроить R-Vision SOAR в любые процессы и инфраструктуру организации.

Помимо обновления функционала, с версии 5.0 запущен процесс плавной переработки визуальной составляющей системы. В последующих обновлениях система должна обрести новый внешний вид и стать более удобной для использования.

Кроме того, с выходом версии 5.0 компания упростила схему лицензирования продукта – R-Vision SOAR теперь поставляется бандлами, функционал которых оптимально закрывает потребности заказчиков в масштабировании, отказоустойчивости и интеграции с другими системами. В схеме лицензирования R-Vision SOAR не учитывается число внешних систем заказчика, взаимодействующих с платформой в рамках сценариев реагирования.