Для начала выделим, какие проблемы в результате опроса, проведенного компанией Positive Technologies, указали пользователи и владельцы SEIM-систем:
- 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно, основное время занимает поиск информации и расследование инцидентов.
- Второй по трудоемкости является задача донастройки правил корреляции.
- У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности.
- развитие в области управления системой,
- автоматизацию реагирования на инциденты и интеграцию с SOAR (Security Orchestration, Automation and Response) системами,
- расширение глубины данных в SIEM за счет:
o анализа происходящего на конечных узлах с помощью данных с EDR (Endpoint detection and Response) решений,
- мониторинг поведения пользователей и сущностей, развитие UEBA (User and Entity Behavioral Analytics) систем,
- использование облачных вычислений как источника данных и предоставление SIEM по модели As-A-Service.
Кроме того, Angara Professional Assistance развивает платформу ACRC для предоставления сервисов SOC MSS собственными разработками, что позволяет двигаться в сторону замещения подплатформенных продуктов для независимости от изменений прайс-листа вендоров и их политик, в том числе санкционных. Также в ближайшей «дорожной карте» (RoadMap) включена разработка таких функций, как:
- Реализация полноценной интеграции со сканерами уязвимостей для учета и обогащения событий и воркспейсов, привязки к инвентаризационной информации.
- Разработка собственного API для интеграции с IRPSDSOARСMDB клиента.
- Мониторинг технических метрик оборудования.
- Разработка подсистемы База знаний и ее интеграция с подсистемой учета инцидентов.
