Step Security Data Lake

Основная статья: Security Information and Event Management (SIEM)

2024: Добавление генеративного ИИ

Специалисты STEP LOGIC расширили функционал технологической платформы класса TDIR Security Data Lake. Для помощи в проведении расследований, поиске инцидентов и событий информационной безопасности в решение был встроен генеративный искусственный интеллект на базе локально-развертываемой языковой модели – GPT-ассистент. Об этом разработчик сообщил 29 марта 2024 года.

Программный продукт Security Data Lake является собственной разработкой STEP LOGIC для центров кибербезопасности (SOC) с общим пользовательским интерфейсом, данными и процессами, объединяющей в себе функции мониторинга событий и выявления инцидентов (SIEM), реагирования и расследования (IRP), а также автоматизации и оркестрации этих процессов (SOAR).

GPT-ассистент представляет собой дополнительный программный модуль, который может интегрироваться как с локальной, так и публичной моделью платформы.

Аналитик SOC в специальном окне задаёт вопросы боту-аналитику по событиям, связанными с данными из расследуемого инцидента информационной безопасности, и получает его интерпретацию ответа на получившийся запрос. Михаил Белошапка, «Далее»: Тенденция укрупнения IT-рынка продолжится 5.2 т

На март 2024 года нейро-ассистент может обрабатывать несколько типов запросов, связанных с поиском данных в системе. Он выводит списки сводных данных, считает количественные значения, определяет время действия, а также может отвечать на вопросы по функционированию платформы в свободной форме.

Мы предоставили возможность аналитикам и руководителям центров кибербезопасности использовать генеративную модель ИИ при расследовании инцидентов. С помощью нейро-помощника можно быстро определить, когда пользователь, принимавший участие в инциденте, последний раз входил в систему, какие события случались с ним за последние сутки, количество инцидентов в расследовании с заданными параметрами и т.д., – подчеркнул руководитель направления систем управления информационной безопасностью STEP LOGIC Станислав Прищеп. – При этом, утечка данных исключена. Модель ИИ статична, она уже обучена и осуществляет только поиск по данным, не передавая их вовне.

2023: Включение в реестр российского ПО

Согласно поручению Министерства цифрового развития, связи и массовых коммуникаций России, технологическая платформа для автоматизации анализа данных и расследования инцидентов Security Data Lake включена в Реестр российского ПО (реестровая запись №20657 от 25.12.2023) по классу «02.08 Средства мониторинга и управления». Об этом Step Logic (Стэп Лоджик) сообщил 23 января 2024 года.

Программный продукт Security Data Lake является собственной разработкой STEP LOGIC для центров кибербезопасности (SOC), объединяющей в себе функции мониторинга событий и выявления инцидентов (SIEM), реагирования и расследования (IRP), а также автоматизации и оркестрации этих процессов (SOAR).

Интерфейс Security Data Lake не только предоставляет аналитику кибербезопасности максимально полный контекст инцидента, но и обладает настраиваемыми инструментами автоматизации реагирования.

Особенностью платформы является использование для анализа событий, инцидентов, расследований и активов единых языка поисковых запросов и конструктора визуализаций, общих правил корреляции и автоматизации. Как показывает практика, такой подход сокращает время реагирования на инциденты и снижает эксплуатационные расходы в 2 раза, по сравнению с решениями на базе комплекса интегрированных между собой SIEM, IRP и SOAR-систем.

Платформа предназначена для построения инсорсных или публичных управляемых сервисов по кибербезопасности. В ней реализованы возможности создания отдельных рабочих пространств, разделения доступа к данным между объектами защиты, имеется большой спектр аналитических инструментов.

В отличии от коробочных решений, контент и конфигурация Security Data Lake адаптированы под реализацию подхода Infrastructure-as-Code (IaC) и Configuration-as-Code (CaC). В состав решения входят инструменты автоматизации администрирования и разработки. Это позволяет обеспечить контроль вносимых в систему изменений, снизить трудоёмкость подключения новых источников и создания собственных сценариев мониторинга.

Первое промышленное внедрение Security Data Lake было проведено в 2021 году. На январь 2024 года наша разработка нашла применение уже в нескольких центрах кибербезопасности, как публичных, так и корпоративных. Масштаб инсталляций достигает 25000 событий в секунду, при подтверждённой в тестовой среде производительности более 50000 EPS, – рассказал руководитель направления систем управления информационной безопасностью STEP LOGIC Станислав Прищеп. – Со своей стороны мы обеспечиваем полный цикл внедрения продукта и его техническую поддержку, систематически обновляем сценарии мониторинга и реализуем интеграции для подключения новых источников. Помимо этого, в рамках внедрения платформы наши специалисты оказывают консалтинговую поддержку при организации рабочих процессов SOC.