Demisto

Demisto е специализиран SOAR софтуер (Security Orchestration, Automation and Response), който дава възможност на екипите за сигурност (SOC) за ефективно управление на процесите при обработка на инциденти и ускорява времето за реакция при нови заплахи. В допълнение, решението интегрира редица вътрешни механизми, които стандартизират инциденти от различни платформи и позволяват автоматизация на всеки аспект от управлението на тяхното разрешаване и документиране. Решението също така подобрява работата в екип, чрез механизма за машинно обучение посочва членовете на екипа на SOC, които са най-подходящи за решаване на дадени инциденти.

За повече информация:

https://www.demisto.com/

Описание на технологията

SOAR/SOC

INCIDENT MANAGEMENT - хранилище на инциденти позволява определянето на инциденти и пълното им управление заедно с автоматизирана търсачка. Част от обработката на инциденти е възможно да се създадат доказателства за нарушения и да се анализират инцидентите в контекста на връзките с други събития в околната среда. Текущото състояние на системата за сигурност може да се визуализира на конфигурируеми табла, включително и чрез създаването на подробни отчети.

ORCHESTRATION AND AUTOMATION - десетки предефинирани интеграции позволяват на екипите за сигурност бърза, двупосочна комуникация с външни системи. Demisto получава данни от външни системи, които могат да бъдат използвани за създаване на нови инциденти или за обогатяване на вече съществуващи обекти с данни. Системата автоматизира процеса на анализиране на получените данни (например автоматичен анализ на файл в sandbox), изпълнява информационни функции (напр. изпращане на имейл до крайния потребител на заразената работна станция, за да го информира да не се отваря прикачения файл) и извършва корекции (например блокира достъпа до посочените услуги на мрежовото устройство). Целият процес се поддържа от инструмент, който позволява създаването на сценарий за анализ на графични инциденти (playbook).

WAR ROOM - продукт с интересен механизъм, който осигурява среда за тестване на нови функции, скриптове и ускорява работата със системата, използвайки CLI команди. Цялостният процес на анализ на инцидентите се използва едновременно за изграждане на централната IoC база и се обработва от механизма за машинно обучение, което позволява да се генерират насоки на системните администратори и е в състояние да управлява процеса на управление на инциденти (инциденти със сходни характеристики ще бъдат насочени към същия оператор, който ускорява обработката им).

Полезни файлове

Authorized trainings

Интересува ли ви? Вижте нашата оферта за обучение.

Абонирайте сe
Видео ръководство

Инсталалиране | Конфигуриране | Употреба

Гледайте