Автоматические сценарии реагирования (playbook) в IRP является эффективным инструментом сокращения времени реагирования на инциденты ИБ, без которого сейчас не обходится ни один современный SOC. Однако, сценарии, предполагающие внесения изменений в ИТ-инфраструктуру в рамках реагирования, требуют наличия привилегированных (административных) учётных записей к IRP системе, что размывает ответственность за администрирование ИТ-инфраструктуры и ключевых ИТ-сервисов и провоцирует конфликт интересов между ИБ и ИТ службами.
В своём докладе, на примере практического кэйса, мы расскажем о подходе к организации реагирования на инциденты ИБ на базе решений Micro Focus и NextSTage IRP, реализующем принцип сервисной изолированности, при котором в IRP-системе отсутствует необходимость хранения административных учётных записей.