Incident Response

Platformy SIRP

Platformy SIRP (Security Incident Response Platform) określane też akronimem SOM (Security Operation Manager) stanowią podstawę działania centrów SOC, CSIRT i CERT i służą do automatyzacji operacji i reakcji oraz zarządzania obsługą incydentów cyberbezpieczeństwa.

Stale zwiększająca się ilość cyberincydentów, które należy obsłużyć spowalnia system ich obsługi i znieczula personel bezpieczeństwa.

Czas obsługi wydłuża się, istotne incydenty przemykają niezauważone

  • zbyt szczupły zespół bezpieczeństwa jest sfrustrowany i nadmiernie obciążony pracą?
  • zalew fałszywych alarmów?
  • niesatysfakcjonująca dokumentacja do obsługi incydentów?
  • rutynowe „czynności do wykonania” pochłaniają mnóstwo czasu?
  • niepewność, czy wybrano właściwy scenariusz postępowania z incydentem?

Przedstawiamy rozwiązanie, które pozwoli:

  • korzystać z najlepszych praktyk i doświadczeń zawartych w Scenariuszach (Playbooks)
  • osobom odpowiedzialnym za bezpieczeństwo zwiększyć wydajność dzięki dostępowi do dokumentacji, jaka jest im faktycznie potrzebna
  • korzystać z wewnętrznej samouczącej się bazy wiedzy o incydentach rozwiązanych w przeszłości
  • sięgać do specjalistycznych artykułów opisujących najlepsze praktyki postępowania z incydentami
  • eliminować fałszywe alarmy poprzez korelację artefaktów i optymalizację reguł parsujących
  • tuningować reguły alarmów z SIEM’a, sysloga czy innych źródeł
  • precyzyjnie analizować alerty
  • dostarczyć niezaprzeczalnych dowodów na potrzeby śledztw w sprawach cyberataków
  • wygenerować raporty zgodności z GDPR (RODO) a analitykom da narzędzie do orkiestracji przepływu pracy i automatyzacji obsługi incydentów czyli
  • uszczęśliwi członków zespołów cyberbezpieczeństwa
  • zwiększy wydajność ich pracy oraz
  • ….zrealizuje rzeczywisty wzrost wskaźników KPI.

Korelacja artefaktów, liniowe i warunkowe Playbooki pracujące w trybie pół- lub automatycznym, wizualny kreator Runbooków, samoucząca się baza wiedzy, możliwość zadawania kontekstowych pytań do baz danych oraz dwukierunkowa integracja z McAfee ePO, IBM QRadar, Splunk, Encase Forensic, Cisco ThreatGrid i Umbrella czyni z DFLabs IncMan wyjątkowe narzędzie do oceny, orkiestracji i automatyzacji pracy w SOC.

Nie warto odkładać tego na później, potem będzie jeszcze więcej alarmów……

  +48 22 638 31 45

Lubimy rozmawiać :ˉ)

DFLabs IncMan to platforma SIRP do automatyzacji, orkiestracji i pomiaru operacji związanych z bezpieczeństwem IT oraz obsługą procesów i zadań z zakresu reakcji na cyberincydenty.

Skraca czas odpowiedzi o 90%

Zwiększa efektywność analityków o 80%

Zwiększa ilość obsługiwanych zgłoszeń o 300%

Sterowanie odpowiedzą na incydent

Korzystaj z prostych lub warunkowych scenariuszy (ponad 100 załączonych szablonów) wspierających złożone, statyczne lub warunkowe podejmowanie decyzji w połączeniu z działaniami manualnymi lub automatycznymi.

Bezpieczna Wiedza o Bezpieczeństwie

Agreguj, koreluj i analizuj dane z setek, wiodących źródeł informacji o zagrożeniach, korzystając z ponad 35 certyfikowanych, dwukierunkowych konektorów i sprawdzonego interfejsu API do niestandardowych integracji.

Automatyzacja dzielenia się wiedzą

Utrzymuj i przekazuj fachową wiedzę przy wykorzystaniu opartej na uczeniu maszynowym Bazy Wiedzy o Automatycznej Reakcji na Incydent (ARK – Automated Responder Knowledge).

Automatyzuje

Supervised Active IntelligenceTM

DFLabs-R3 – Rapid Response Runbooks (Podręczniki Szybkiego Reagowania) pozwalają na pełną automatyzację procesów segregacji incydentów, badania i ograniczania ich skutków dzięki zastosowaniu działań warunkowych oraz ponad 99 automatycznych akcji, umożliwiających w ramach przepływu pracy na wzbogacanie danych o incydencie, powiadamianie, ograniczanie skutków incydentu oraz podejmowanie niestandardowych działań na podstawie złożonych, statycznych lub logicznych decyzji.

Orkiestruje

Cyber Incidents under ControlTM

DFLabs IncMan jest inteligentnym stanowiskiem dowodzenia w zakresie operacji związanych z bezpieczeństwem IT. Umożliwia orkiestrację pełnego cyklu reakcji na incydenty i etapów postępowania dochodzeniowego dla SOC (Security Operations Center) i CSIRT (Computer Security Incident Response Team). Jest znakomitym narzędziem pozwalającym osobom odpowiedzialnym za obsługę incydentów, śledczym i analitykom bezpieczeństwa na reagowanie, śledzenie, przewidywanie i wizualizację incydentów cyberbezpieczeństwa. Zapewnia menadżerom odpowiedzialnym za bezpieczeństwo IT pomiar i zarządzanie wydajnością operacyjną i ryzykiem cybernetycznym.

Mierzy

Full Incident Phase Management

DFLabs IncMan umożliwia pomiar, porównanie i optymalizację operacji bezpieczeństwa i reagowania na incydenty przy zastosowaniu ponad 140 raportów i wskaźników KPI (Key Performance Indicators – Kluczowe wskaźniki skuteczności). Dostosowujący się automatycznie do roli obserwatora pulpit nawigacyjny i konfigurowalne widżety budują w czasie rzeczywistym świadomość sytuacyjną operacji bezpieczeństwa oraz ekspozycji na ryzyko. Pomiar możliwy jest dla każdej indywidualnej fazy przepływu pracy w zakresie odpowiedzi na incydenty. IncMan zapewnia wizualizację i analizę zagrożeń.