ATAR – SOC платформа управления расследованиями и реагирования на угрозы с функционалом программируемого робота, насыщенной аналитикой и аналитическим движком.

Пользователь может передавать рутинные и периодические задачи роботу ATAR и концентрировать внимание на том, что действительно важно. Программное обеспечение не сможет заменить человеческое мышление в непосредственном будущем, тем не менее, мы определенно можем представить, как большинство задач по реагированию на случаи нарушения безопасности будет передано программному обеспечению. Среди наших клиентов есть те, кто передал роботам до 50 % рабочей нагрузки приложений. Платформа ATAR может проводить опрос конечных точек, задавать конфигурацию межсетевых экранов, изолировать компьютеры внутри сети, бессрочно или временно блокировать учетные записи пользователей.

Кроме того, платформа ATAR помогает аналитикам, выступая в качестве их персонального дворецкого: она собирает данные и доказательства, чтобы ускорить анализ и принять меры по устранению нарушений, словно специалист по кибербезопасности. Встроенная служба информационно-технической поддержки играет роль пульта управления по устранению происшествий; ее использование может повысить скорость исследования и реагирования на нарушения безопасности в 10 раз и позволяет различным аналитикам одновременно работать над одним инцидентом, что в свою очередь способствует сотрудничеству и взаимодействию.

Собирая точки ввода данных по всем операциям SOC, платформа ATAR оказывается связанной со множеством ключевых показателей производительности и метрических показателей; среди наиболее популярных можно отметить соблюдение условий о качестве предоставления услуг, эффективность аналитиков и статистику рабочих нагрузок.

Автоматизируйте повторяющиеся расследования и ответные действия

Вчерашние ручные хакерские атаки сегодня полностью автоматизированы за счет вредоносного программного обеспечения; ни один ручной анализ не может сравниться со скоростью автоматизированной атаки.

Кроме того, некоторые неприятности происходят чаще, чем другие. Почему же не передать автоматические повторные исследования и меры по устранению нарушений роботу ATAR и не сфокусироваться на более нестандартных случаях?

Объем и скорость

Обычная организация подвергается более 300 кибератакам в день, при этом полноценное расследование всего одной из них занимает примерно 8 часов. Ни в одном SOC нет такого количества персонала, чтобы провести тщательный анализ всех этих атак. Кроме того, атаки на основе вредоносного программного обеспечения могут начинаться и заканчиваться в течение менее 15 минут, и ни один аналитик в SOC не сможет угнаться за такой скоростью. SOC нужна автоматизация, чтобы сравняться с объемом и скоростью работы современных технологий. Автоматизация платформы ATAR помогает SOC добиться нужного результата.

Ручные процессы

В настоящее время в стандартном SOC присутствует огромное количество повторяющихся расследований, проводящихся в ручную. Угрозы воздействия вредоносного программного обеспечения поступают десятками, например, в виде множества неудачных попыток входа в систему и т. п. Аналитики SOC терпеть не могут такие рутинные процессы; а в конце рабочего дня рутинные задачи особенно утомительны.

Передайте выполнение повторяющихся ручных процессов платформе ATAR и позвольте квалифицированным аналитикам сфокусироваться на более интересных и нестандартных случаях и поддержать профессиональный энтузиазм.

Повышение эффективности анализа

Платформа ATAR отличается унифицированным интерфейсом расследования случаев нарушения безопасности – по аналогии с пультом управления для регулирования и реагирования на выявленные инциденты. Во время работы аналитиков через интерфейс ATAR над инцидентами, платформа ATAR играет роль персонального дворецкого и собирает все данные или свидетельства, а также мгновенно выполняет действия от имени аналитика. Унифицированный интерфейс проведения расследования способствует повышению продуктивности аналитиков за счет существенного сокращения количества времени, необходимого для обычного расследования случая нарушения безопасности и реакции на него.

Ускорение расследования

Стандартный аналитик SOC использует 15-20 различных инструментов для проведения расследования и реагирования на выявленный инцидент. Вместо перехода между меню и входом/выходом в эти инструменты, платформа ATAR предлагает унифицированный интерфейс для расследования инцидентов, позволяющий управлять и контролировать всем при помощи всего одной консоли.

Моментальный сбор доказательств и принятие решений, при помощи консоли для проведения расследований, ATAR позволяет сократить время проведения отдельных расследований от нескольких часов до нескольких минут.

Исключение ошибок

Платформа для расследований ATAR предоставляет уведомления о масштабах проведения расследования. По мере проведения расследования платформа ATAR извлекает списки всех релевантных IP-адресов, URL-адресов, доменов, имен пользователей и т. п., связанных с конкретным инцидентом, и помещает их в область действия инцидента. Аналитики могут только продолжить расследование и предпринять меры в отношении только тех инцидентов, которые уже внесены в область действия. Такой подход позволяет избежать многих практических ошибок, таких как опечатки при вводе IP-адресов или URL.

Взаимодействие

Платформа для проведения расследования обеспечивает рабочую среду для взаимодействия. Аналитик, который присоединился к изучению случая позже, может ознакомиться со всеми предыдущими действиями, собранными данными или доказательствами и предпринятыми мерами. Благодаря приспособленности интерфейса для проведения расследования ATAR к командной работе, аналитики быстрее закрывают инциденты, помогая друг другу.

Наблюдение

Платформа ATAR записывает все действия аналитиков во временную шкалу учета инцидентов. Временная шкала обеспечивает наблюдение процессов SOC. Все действия робота ATAR или аналитиков регистрируются во временной шкале и аварийных отчетах о возможных инцидентах. Такой подход обеспечивает сбор данных не только о надежности и эффективности, но и помогает внутренним и внешним аудиторами проводить анализ процессов SOC. Для использования большинства инструментов необходимы полномочия администратора, поэтому только избранная группа аналитиков SOC обладает доступом к полному набору инструментов.

Аналитика SOC

При использовании платформы ATAR в качестве операционной платформы SOC, платформа ATAR регистрирует все аналитические действия и автоматические операции. Это позволяет генерировать большой объем оперативных данных. Использование данных, собранных по результатам операций SOC, предоставляет платформе ATAR ключевые показатели производительности и метрические показатели, позволяющие оценить эффективность работы SOC и значения отдельных показателей эффективности.

Ключевые показатели производительности и метрические показатели

Платформа ATAR собирает ключевые показатели производительности и метрические показатели о процессах SOC. Данные значения позволяют получить более точное представление о работе системы и разработать более эффективные стратегические решения. Количество нерешенных инцидентов увеличивается или уменьшается? Есть ли возможность соблюсти условия дифференцированных соглашений о качестве предоставления услуг? Кто из аналитиков работает медленнее других?

Единый подход

Платформа ATAR указывает менеджерам SOC единый подход, позволяющий разобраться в происходящем. От графиков к видеопанелям и метрическим показателям, определяющим стратегические решения – платформа ATAR мгновенно станет незаменимым инструментом менеджеров SOC.

Бизнес-возможности

Оперативность реагирования

Автоматизация сценариев, мгновенный сбор доказательств и повышение динамики защиты.

Управление повторяющимися процессами

Сфокусируйтесь на более важных задачах и позвольте платформе ATAR взять на себя управление повторяющимися процессами. Обеспечьте соблюдение условий соглашений о предоставлении услуг и повысьте удовлетворение операторов.

Сокращение расходов

Сокращение ущерба и расходов за счет более высоких показателей и уменьшения количества операторов.