TheHive и Security Vision

TheHive

TheHive - система инцидент менеджмента. Состоит из двух основных модулей TheHive (платформа регистрации, обработки и работы над инцидентами) и Cortex (платформа для анализа и обогащения информации).

Установить TheHive можно используя докер, установка достаточно проста, процесс описан в документации на GitHub

Создание инцидентов по умолчанию создается вручную, заполняются следующие поля:

• Severity – классификация угрозы инцидента (L – низкий, M – средний, H – высокий);
• Tags – набор тегов для быстрого поиска;
• Date – дата и время регистрации инцидента;
• TLP – протокол для обмена конфиденциальной информацией

Можно создавать шаблоны, в которых будет автоматически подгружена требуемая информация.

Карточки с инцидентами можно наполнять ( подгружать информацию с других источников, у которых есть API, например). Для этого нужно установить Cortex, в котором нужно настроить анализаторы, многие доступны по умолчанию, их база постоянно пополняется

Вызов анализаторов в TheHive происходит вручную, можно в карточке инцидента подгрузить отчет с разных систем, не заходя на них

Доступны многие типовые действия, но для того, чтобы синтегрировать с конкретно вашим антивирусом или ActiveDirectiory и т.д., анализаторов Cortex не хватит, придется с 0 писать код на Python, понимать особенности реагирования на тот или иной инцидент.

В целом, платформа достаточно проста, несложно установить и начать использовать. Но для автоматизированного реагирования и появления кейсов, нужно приложить немало времени. Потребуется специально обученный под это человек, со знанием скриптовых языков и особенностей инфраструктуры. Так как платформа бесплатная, документация достаточно общая, нужно потратить довольно много времени на сбор нужной информации, нет тех. поддержки.

Security Vision

Security Vision - российская SOAR платформа, автоматизирует реагирование на инциденты информационной безопасности, используя рабочие процессы.

Благодаря графическому движку, можно задавать сценарий последовательности действий реагирования на инциденты ИБ ( никакого написания скриптов на Python))

Заведение инцидентов тоже происходит автоматизированно, подгружается информация с SIEM, с антивируса, межсетевого экрана и согласно логике рабочего процесса происходит реагирование на кейс, без участия оператора.

Множество встроенных интеграций доступно из коробки. Если нужно подключить какое либо другое СЗИ или SIEM, можно воспользоваться разделом коннекторов ( как правило это несложно и достаточно быстро)

Географическая карта с направлением атак

Для установки потребуется три сервера - для базы данных, коннекторов и веб-сервера. Новая версия обещает быть кроссплатформенной.

Я решила не вдаваться в технические детали, а описать принципиальные различия. Резюмируя, TheHive - хорошая платформа, но кастомные решение требуют детального описания (технического писателя), разработка и актуализация интеграций ложится на внутреннюю команду. Плюсом является простота в установке ( вызов докер контейнера), бесплатное решение, постоянные обновления.

Security Vision SOAR в работе оператора SOC, оно бы мне точно пригодилось. Понятная настройка рабочих процессов, используя блок схемы, огромное количество встроенных интеграций, простота добавления новых, неплохие дашборды, российское решение.