Главная » Блоги Экспертов И ИТ-Компаний » Demisto объявил о доступности платформы Demisto SOAR 5.0

Demisto объявил о доступности платформы Demisto SOAR 5.0

Demisto, a Palo Alto Networks Company, объявила о доступности Demisto v5.0 для корпоративных клиентов и пользователей бесплатной версии. Релиз собрал множество новых функций, как разработанных компанией, так и предложенных заказчиками. Новые функции Demisto v5.0 помогают решать следующие задачи:

  • Произвольная настройка интерфейса работы с кейсами
  • Глубокий анализ индикаторов компрометации
  • Горизонтальная масштабируемость базы данных,
  • и другие функции.

 

Обзор нововведений Demisto 5.0

Обновленный пользовательский интерфейс

Поскольку данные и контекст инцидента определяют деятельность аналитика SOC, крайне важно иметь пользовательский интерфейс, который наглядно структурирует данные и делает контекст интуитивно понятным. Demisto v5.0 содержит новый пользовательский интерфейс, который упрощает глобальную навигацию, а также улучшает представление информации в каждом инциденте. 

Глобальная навигация

Основная панель навигации по умолчанию свернута в Demisto v5.0, что позволяет максимизировать пространство экрана и улучшить видимость, не жертвуя возможностью простой навигации по среде Demisto.

Детали инцидента

Demisto v5.0 поставляется с полностью переработанным экраном сводки об инциденте. Эта новая страница (называемая «Информация о кейсе») позволяет быстро анализировать критическую информацию об инциденте ипрактически не требует прокрутки экрана. Все новые и существующие типы инцидентов будут включать эту переработанную сводную страницу. При желании аналитики также могут использовать старый дизайн этой страницы.

Страница расследований

Одинаковая работа с разными типами кейсов не является оптимальным. Аналитики SOC подтвердят, что для фишингового инцидента нужна иная информация и в ином формате, чем для инцидента с вредоносным ПО. Каждый инцидент в Demisto v5.0 поставляется с полностью настраиваемой страницей «Расследование», позволяющей выбрать оптимальные виджеты для визуализации информации.

Пользовательские вкладки и макеты страниц инцидентов

Хотя страницы «Сведения о кейсе» и «Расследование» являются двумя вариантами по умолчанию, доступными для инцидентов Demisto, вы можете добавить вкладки для любой другой информации, которую вы хотели бы выделить для определенного типа инцидента. Для каждой новой добавленной вкладки вы также можете создавать макет страницы с нуля, используя как встроенные, так и созданные пользователем виджеты.

Все вкладки инцидентов поставляются с полным контролем доступа на основе ролей, что позволяет администраторам предоставлять привилегии подпросмотра инцидентов соответствующим ролям в зависимости от чувствительности данных.

 

Улучшенный функционал киберразведки

Визуализация и обогащение информации об индикаторах часто распределяются по разным наборам инструментов, что приводит к постоянным разрозненным хранилищам, что снижает производительность системы безопасности. Усовершенствования в работе с киберразведкой в Demisto v5.0 позволяют пользователям получать доступ к богатому набору индикаторов из интегрированных источников и выполнять над ним массовые действия. Вы можете создавать собственные шаблоны индикаторов, которые отображают релевантные данные для каждого типа индикаторов, и отправлять эти данные на СЩИ, используя оркестрацию и автоматизацию Demisto.

Пользовательские шаблоны страниц индикаторов

Вы можете настроить шаблоны страницы индикаторов в Demisto v5.0, выбирая из готовых вариантов, или создавая собственные страницы и поля индикаторов. Например, можно добавить новый раздел на страницу CVE и заполнять его полями, которые содержат информацию о семействе вредоносного ПО, механизмах его обнаружения и комментариях аналитика. 

Консолидация файловых хэшей

Начиная с Demisto v5.0, файловые объекты будут использовать единый индикатор файла. Это означает, что файловые индикаторы будут отображаться с их хэшем SHA256, а все другие хэши (MD5, SHA1, SSDeep и т. д.) будут отображаться уже как свойства этого же индикатора. Если файл появляется в другом инциденте с другим именем и имеет одно и то же значение хеш-функции, он будет автоматически связан с исходным индикатором. Вы можете дополнительно прочитать о консолидации хэшей здесь.

 

Масштабирование базы данных 

Использование множества СЗИ в современной организации часто превращается в борьбу с постоянно растущим потоком алертов за доступные вычислительные ресурсы. Для гарантии высокой производительности вашей инсталляции Demisto теперь возможно устанавливать серверы приложения и базы данных Demisto на разных машинах. Эти многоуровневые конфигурации позволяют вам масштабировать вашу среду и эффективно управлять ресурсами.

Demisto v5.0 поддерживает две многоуровневые конфигурации: один сервер приложений и один сервер базы данных на разных машинах, или один сервер приложений и несколько серверов баз данных на разных машинах. 

 

Что еще нового в релизе Demisto 5.0

Другие новые функции в Demisto v5.0 включают в себя:

  • SOAR на лету: теперь вы можете отойти от экрана этого компьютера на секунду. Demisto v5.0 представляет поддержку чата в мобильном приложении, что позволяет вам держать в курсе инцидента всех заинтересованных лиц на ходу. Вы также можете управлять уведомлениями из веб-приложения, выбирая получение обновлений по электронной почте, Slack, Mattermost или в мобильном приложении.
  • Только нужная информация при работе с инцидентом: теперь вы можете выбрать, какие типы записей отфильтровывать вситуационной комнате (WarRoom). Вы также можете скопировать entryID записи из WarRoom в буфер обмена, обеспечивая плавный переход к автоматическим или специальным задачам, используя запись WarRoom в качестве входных данных. Вы можете узнать больше о фильтрации War Room на портале поддержки Demisto.
  • Возвращаем «play» в плейбуки: плейбуки Demisto становятся все более похожими на Lego. Теперь вы можете отображать выходные данные в поля при настройке задачи плейбука, автоматически заполняя поле его отображенным значением ключа. Вы также можете редактировать встроенные плейбуки, не дублируя их. Для этого нужно просто отсоединить их от обновлений контента.
  • Циклы: при работе с подплейбуками вы можете передать им массив данных на вход. Эта возможность должна быть полезна в таких случаях, как перебор и проверка списка адресов электронной почты и различных тем писем для каждого адреса. Дополнительную информацию можно найти на портале поддержки Demisto (требуется учетная запись службы поддержки Demisto).

Вы можете заказать демо и тестирование Demisto в Тайгер Оптикс, официальном дистрибьюторе Palo Alto Networks в СНГ.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
+7 (499) 504-16-70
Информационные технологии

Компания Тайгер Оптикс была основана в 2010 году и является специализированным дистрибьютором инновационных решений в сфере информационной безопасности.

Мы помогаем компаниям снижать риски, связанные с информационными технологиями, и защищать данные на всем протяжении корпоративной инфраструктуры – от дата-центра до конечных точек – рабочих станций, удаленных офисов и мобильных устройств.

За время работы Тайгер Оптикс впервые вывел на рынки России, Казахстана, Украины и других стран СНГ такие бренды как Senetas, VMware AirWatch, Good Technology, Palo Alto Networks, TIBCO LogLogic, Аванпост и другие. 

Тайгер Оптикс работает на всей территории русскоязычной Восточной Европы и Центральной Азии, осуществляя продажи и оказывая техническую поддержку через сеть авторизованных партнеров.




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>