Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях 13 и 14
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях 13 и 14
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
SOAR в действии: лучшие практики и реальные кейсы внедрения
25 марта 2026
Расширение стека средств защиты информации (СЗИ) на предприятиях, и в особенности внедрение SIEM (Security Information and Event Management) систем, неизбежно ведет к кратному увеличению потока событий, поступающих на обработку аналитикам. Как следствие, рост нагрузки на сотрудников вызывает увеличение показателей MTD (среднее время обнаружения) и MTTR (среднее время реагирования).
Впоследствии организация сталкивается с выбором: либо с ростом числа событий нужно наращивать штат аналитиков, что экономически неэффективно, либо переходить к максимальной автоматизации рутинных процессов. Дополнительно подход с ручной обработкой инцидентов приводит к выгоранию персонала и неизбежным ошибкам из-за человеческого фактора. В условиях постоянного роста количества инцидентов такая задержка в реагировании лишает направление информационной безопасности (ИБ) возможности локализовать атаку на ранних этапах, что, как известно, увеличивает возможный ущерб.
Одним из решений этих проблем выступает класс систем SOAR (Security Orchestration, Automation and Response). В отличие от SIEM, задача которой — сбор и корреляция логов, SOAR фокусируется на реагировании и управлении инцидентами. Система становится центральным узлом — оркестратором, объединяющим разрозненные СЗИ в единый технологический стек.
В этой статье мы подробно изучим возможности системы, разберем ее ключевой функционал и продемонстрируем эффективность технологии на реальных практических кейсах.
Для начала разберемся с архитектурой системы.
1. Коннекторы к смежным системам. В основе SOAR лежит двухстороннее взаимодействие со смежными ИТ- и ИБ-системами. Система использует коннекторы различных типов: от классических API и прямых запросов к базам данных о служебных протоколах удаленного управления — SSH, WinRM. Это позволяет SOAR не просто собирать данные, но и реализовывать реагирование, например, блокировку пользователя в Active Directory (AD) или IP-адреса на межсетевом экране.
2. Плейбуки реагирования — алгоритмы, описывающие порядок действий при реагировании на конкретные угрозы. Современные системы предлагают гибкие подходы к их созданию.
4. Исполнительные агенты. Для реализации сценариев автоматизации в распределенных инфраструктурах SOAR использует агенты:
Расширение стека средств защиты информации (СЗИ) на предприятиях, и в особенности внедрение SIEM (Security Information and Event Management) систем, неизбежно ведет к кратному увеличению потока событий, поступающих на обработку аналитикам. Как следствие, рост нагрузки на сотрудников вызывает увеличение показателей MTD (среднее время обнаружения) и MTTR (среднее время реагирования).
Впоследствии организация сталкивается с выбором: либо с ростом числа событий нужно наращивать штат аналитиков, что экономически неэффективно, либо переходить к максимальной автоматизации рутинных процессов. Дополнительно подход с ручной обработкой инцидентов приводит к выгоранию персонала и неизбежным ошибкам из-за человеческого фактора. В условиях постоянного роста количества инцидентов такая задержка в реагировании лишает направление информационной безопасности (ИБ) возможности локализовать атаку на ранних этапах, что, как известно, увеличивает возможный ущерб.
Одним из решений этих проблем выступает класс систем SOAR (Security Orchestration, Automation and Response). В отличие от SIEM, задача которой — сбор и корреляция логов, SOAR фокусируется на реагировании и управлении инцидентами. Система становится центральным узлом — оркестратором, объединяющим разрозненные СЗИ в единый технологический стек.
В этой статье мы подробно изучим возможности системы, разберем ее ключевой функционал и продемонстрируем эффективность технологии на реальных практических кейсах.
Для начала разберемся с архитектурой системы.
1. Коннекторы к смежным системам. В основе SOAR лежит двухстороннее взаимодействие со смежными ИТ- и ИБ-системами. Система использует коннекторы различных типов: от классических API и прямых запросов к базам данных о служебных протоколах удаленного управления — SSH, WinRM. Это позволяет SOAR не просто собирать данные, но и реализовывать реагирование, например, блокировку пользователя в Active Directory (AD) или IP-адреса на межсетевом экране.
2. Плейбуки реагирования — алгоритмы, описывающие порядок действий при реагировании на конкретные угрозы. Современные системы предлагают гибкие подходы к их созданию.
- Low-code конструкторы плейбуков: визуальное проектирование логики в виде блок-схем с ветвлениями и циклами позволяет специалистам разрабатывать собственные сценарии. Использование low-code систем значительно ускоряет разработку типовых сценариев и не требует углубленных знаний языков программирования. Обычно SOAR поставляется с набором «коробочных» плейбуков для базовых операций: обогащения данных из Threat Intelligence (TI) платформ, блокировки учетных записей в AD или изоляции хостов.
- Кастомные Python-скрипты: для реализации специфической логики или интеграции с проприетарным ПО, где возможностей визуального конструктора явно недостаточно, SOAR позволяет создавать полностью самописные скрипты. Для удобства разработки мы можем загружать необходимые нам библиотеки, что дает неограниченную гибкость в разработке сценариев. В дополнение к этому современные системы интегрируют ассистентов на базе искусственного интеллекта (ИИ) непосредственно в среду разработки, что ускоряет написание и отладку кода.
4. Исполнительные агенты. Для реализации сценариев автоматизации в распределенных инфраструктурах SOAR использует агенты:
- Серверные агенты функционируют как на основном сервере SOAR, так и в удаленных сегментах сети: DMZ, филиалы компаний.
- Локальные агенты устанавливаются непосредственно на АРМ пользователей. Функционируя с правами локального администратора, они позволяют обходить ограничения UAC и обеспечивают полный доступ к ресурсам ОС: установке, удалению ПО, выполнению команд в PowerShell от администратора, прямому редактированию реестра, управлению процессами, а также передаче тяжелых данных, например, пакетов обновлений KB.
- Оркестрация и управление активами. SOAR собирает данные из различных средств защиты в «единое окно» и связывает инцидент с конкретным хостом. Это позволяет аналитику сразу видеть сегмент и критичность узла.
- Автоматическое назначение инцидентов на аналитиков. Система автоматически назначает ответственного аналитика исходя из информации о его загрузке, смены или профильную группу.
- Обогащение данных об инцидентах. Автоматический сбор контекста об инциденте при помощи внешних TI-систем и внутренних AD-источников. Аналитика проводится в том числе благодаря ИИ-ассистенту.
- Ранжирование инцидентов по степени риска. Система определяет критичность на основе собранного контекста, например, атака на контроллер домена гораздо более приоритетна, чем на гостевой Wi-Fi.
- Автоматическое выполнение рутинных задач аналитика. Система берет на себя типовые проверочные операции: проверки установленного СЗИ и логов почтового сервера. Примеры этих процессов разберем ниже в практических кейсах.
- Разработка и запуск сценариев реагирования на инциденты ИБ (плейбуки). SOAR позволяет создавать алгоритмы реагирования на угрозы, которые запускаются в автоматическом режиме или по команде оператора. Плейбуки могут выполнять широкий спектр действий: от изоляции АРМ и сброса активных сессий до изменения политик фильтрации на NGFW.
Кейс-1: почтовый сервер
Почтовый сервер компании регулярно подвергается атакам типа brute-force (перебор данных УЗ). Ручной мониторинг файлов и папок с логами, их анализ и последующая блокировка IP-адресов на межсетевом экране занимают много времени. За этот период злоумышленники успевают совершить тысячи попыток подбора, что создает риск компрометации учетных записей.
Реализация в SOAR
Описание архитектуры плейбука
Плейбук запускается по расписанию, например, дважды в сутки. Сценарий включает следующие этапы:
Схема работы представлена ниже
Реализация в SOAR
Описание архитектуры плейбука
Плейбук запускается по расписанию, например, дважды в сутки. Сценарий включает следующие этапы:
- Сбор данных. Кастомный python-скрипт инициирует SSH-сессию с почтовым сервером, выполняет парсинг файлов в директории с логами авторизации, извлекает события неудачных попыток входа и преобразует данные в структурированный JSON-формат (логин, ip-адрес клиента, временная метка).
- Реагирование. Плейбук обрабатывает массив данных из предыдущего шага. При превышении заданного порога неудачных попыток авторизации (например, более 10 входов за минуту с одного адреса) активируется сценарий блокировки ip-адресов на межсетевом экране.
Схема работы представлена ниже
Кейс-2: доставка обновлений KB
В инфраструктуре заказчика присутствуют хосты под управлением Windows 7 и Windows 10. Требуется оперативно доставлять и устанавливать критические обновления безопасности (KB) средствами SOAR, в обход штатных механизмов распространения обновлений Windows.
Реализация в SOAR
Вместо ручного процесса распространения на хосты используется плейбук с применением локальных агентов, постоянно установленных на АРМ пользователей.
Описание архитектуры плейбука
Подготовка плейбука (сборка):
Схема работы представлена ниже
Реализация в SOAR
Вместо ручного процесса распространения на хосты используется плейбук с применением локальных агентов, постоянно установленных на АРМ пользователей.
Описание архитектуры плейбука
Подготовка плейбука (сборка):
- Загрузка обновления: оператор системы вручную скачивает необходимый KB-пакет обновления с официального сайта Microsoft.
- Размещение файла: скачанный файл копируется в директорию файлов плейбука и загружается в SOAR.
- Работа агента. Агент SOAR устанавливается на АРМ пользователя как системная служба и работает постоянно, с момента включения компьютера.
- Инициация сценария. Оператор SOAR запускает плейбук, в интерфейсе системы выбирает целевые агенты, например, по имени АРМ или группе хостов, и запускает выполнение.
- Транспорт и установка. Агент самостоятельно осуществляет доставку файлов и запускает установку обновления, используя утилиту wusa.exe. После завершения установки агент обрабатывает код ответа и передает статус обратно в SOAR.
Схема работы представлена ниже
Кейс-3: проверка и установка агентов безопасности
В компании на АРМ пользователей, согласно политике безопасности, должно быть установлено обязательное ПО. Необходимо осуществлять контроль за его наличием и актуальностью версий.
Реализация в SOAR
Описание архитектуры плейбука
Плейбук запускается при возникновении инцидента об отсутствии СЗИ на АРМ. Сценарий включает следующие этапы:
Схема работы представлена ниже
Плейбук запускается при возникновении инцидента об отсутствии СЗИ на АРМ. Сценарий включает следующие этапы:
- Сбор данных. SOAR подключается к диапазону IP адресов, который оператор выбирает при запуске плейбука. В зависимости от ОС система подключается к хостам по WinRM или SSH и сверяет список установленного ПО и версии агентов безопасности с версиями, загруженными в SOAR.
- Реагирование. В случае если агент не установлен, либо его версия не совпадает с той, что загружена в SOAR, происходит установка агента безопасности: осуществляется доставка файла, далее через msiexec.exe (с флагом тихой установки /s ) запускается установка или обновление СЗИ. После завершения статус установки передается оператору в интерфейс SOAR.
Схема работы представлена ниже
Сложности интеграции и эксплуатации SOAR-систем
- Зависимость от API сторонних вендоров. Стабильность и функционал SOAR напрямую зависят от смежных систем. Очередное обновление вендора может изменить эндпоинты API (например, с /api/v3.8/ на /api/v4.0/) или формат запросов, что приводит к неработоспособности плейбуков. Это требует постоянного мониторинга документации смежных систем и поддержки коннекторов в актуальном состоянии.
- Сложность при поддержке плейбуков. Сценарии быстро устаревают при изменениях инфраструктуры сети на предприятии и политик ИБ. Требуется регулярная актуализация логики реагирования.
- Сложности при масштабировании. Добавление или удаление новых средств защиты в инфраструктуре требует доработки существующих сценариев (скриптов) или разработки/покупки новых коннекторов, что увеличивает стоимость владения системой.
- Риски при внедрении плейбуков. Неоптимизированные сценарии могут создавать критическую нагрузку на инфраструктуру. Зафиксированы кейсы, когда плейбук при сборе большого объема логов с АРМ пользователя через агент потреблял все доступное ОЗУ на хосте, что подчеркивает необходимость обязательного тестирования плейбуков на тестовом контуре перед внедрением.
Вывод
Приведенные в статье примеры — лишь малая часть того, что можно реализовать с помощью SOAR. Благодаря возможности комбинировать готовые функциональные блоки с гибкостью python-скриптов, горизонт автоматизации ограничен лишь замыслом аналитика и специфическими потребностями инфраструктуры. Это превращает SOAR из узкоспециализированного инструмента в универсальный центр управления ИБ. При этом нововведения в области ИИ позволяют аналитику сразу видеть уровень достоверности угрозы непосредственно в карточке инцидента и мгновенно запускать сценарии реагирования — от блокировки учетной записи в AD до полной изоляции скомпрометированного хоста. А агентская система, устанавливающаяся прямо на хост и работающая как служба, позволяет обходить ограничения операционной системы, которые присутствуют при подключении к хосту по WinRM.
Автор: Никита Пономаренко, инженер направления автоматизации ИБ
Автор: Никита Пономаренко, инженер направления автоматизации ИБ
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных