Интервью с Евгенией Лагутиной, экспертом по системам мониторинга ИБ и SOC "Лаборатории Касперского"
HTML-код
- Опубликовано: 28 июн 2024
- Интервью с Евгенией Лагутиной, Экспертом по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского» о новой версии экосистемы Kaspersky Symphony XDR и дальнейших планах ее развития.
00:00:00 Начало
00:00:17 Обсуждение концепции XDR
00:05:25 Развитие Kaspersky Symphony в новой версии Symphony XDR
00:07:26 Kaspersky Single Management Platform, зачем она понадобилась
00:14:06 Дальнейшее развитие XDR
00:17:44 Искусственный интеллект и машинное обучение
• Искусственный интеллект может заменить экспертную оценку и подсказать, что делать в случае обнаружения угрозы.
По вопросам рекламы:
sales@anti-malware.ru 
Наука
Отличный рассказ! Спасибо!
Я бы SOAR не подмешивал в XDR, потому что если автоматизация в XDR и будет на основе готовых playbook, то только на основе NGFW, NDR/NTA, EDR, которыми XDR управляет. А SOAR это полная автоматизация всех продуктов, их может быть 40 штук и там полноценный war room поэтому. Например SOAR почту принимает, читает содержимое и реагирует - вряд ли это нужно в XDR интегрировать. Он не для автоматизации всех продуктов, а для решения задач по блокированию, обнаружению и блокированию атак. Да, он помогает в расследованиях, при этом как именно один из поставщиков событий и один лишь из сенсоров для SOAR.
А в каком окне в таком случае вести работу аналитику? SOAR для управления инцидентами и XDR для расследования? При том, что некоторые функции в системах будут пересекаться. Я согласен, что в SOAR вкладывается больше, чем в XDR в части автоматизации, но почему-бы их не совместить в таком случае?
@@morpheme777
1. В SOAR есть WAR room, куда стекается вся информация от всех аналитиков и от утилит, которые они использовали, в том числе информация от такой утилиты как XDR.
2. XDR покажет цепочку событий и там будут данные по конкретным сработкам на разных хостах и цель - выявить как проникли в компанию. Это лишь один из инструментов.
3. При расследовании инцидента окон у вас будет много открыто.
@@BDVSecurity
1. War room это только фича, которая по сути представляет из себя чат, куда можно скидывать информацию от разных автоматизированных действий, куда можно прикрутить AI бота и т.д. В рамках инцидента в XDR также имеется чат, который будет совершенствоваться со временем, а его функционал и гибкость будет расти.
2. Согласен, что XDR задумывался именно так, как вы указали. Но если взглянуть на нынешние XDR, то там уже будет присутствовать частично функционал SOAR, например, в чати автоматизаций и управления алертами и инцидентами. Более того XDR обладает потенциалом расширить этот функционал, чтобы полностью поглотить SOAR.
Есть большие сомнения, что внедрение SOAR и XDR в одном SOC имеет смысл. Если SOC достаточно зрелый, они знают чего хотят, обладают достаточной экспертизы и им нужна максимальная гибкость от продуктов, тогда их выбор в сторону SOAR. Но если команда SOC недостаточно укомплектована, у них нет сложившихся годами процессов и нет времени в течение 2 лет разрабатывать с нуля плейбуки и автоматизации на скриптах, то их выбор должен пасть в сторону XDR.
Я клоню лишь к тому, что XDR сможет предложить со временем весь функционал SOAR, но SOAR как концепция по-моему достигла предела в части функционала.
3. От этого по-моему уже много лет все хотят уйти=)