За 20 лет существования ArcSight мы прошли очень долгий путь эволюции инструментов SOC. От сбора и нормализации событий ИБ и их централизованного хранения к аналитике исторических данных и выявления актуальных угроз посредством корреляции, а далее к поведенческой аналитике с использованием технологий ML и работе с большими данными. На протяжении всего этого времени мы помогали нашим заказчикам решать актуальные задачи выявления угроз.
Сейчас основная проблема SecOps уже не в отсутствии инструментов для выявления, она в отсутствии человеческих ресурсов для расследования. Операторам современных SOC приходится выполнять множество однотипных операций для обогащения инцидентов, их приоритизации и принятия верных решений по расследованию. Наш новый модуль SOAR – ArcSight Respond, призван снизить нагрузку на операторов SOC. SOAR позволяет автоматизировать процесс обогащения инцидентов, предоставляет единый интерфейс расследования и возможности по взаимодействию с инфраструктурой для активного противодействия угрозе.
В рамках вебинара мы рассмотрим основные возможности нашего SOAR и поговорим о его интеграции с существующими решениями платформы ArcSight.