Как PAM и SOAR дополняют друг друга Обнаружить инцидент — это половина дела. Вторая половина — отреагировать так, чтобы он не превратился в реальную проблему. Первую часть здесь закрывает PAM, а вторая реализуется через интеграцию с SOAR/IRP: ▫️Автоматизированная реакция Когда СКДПУ НТ фиксирует нарушение политики, SOAR получает данные об инциденте и запускает заранее настроенный сценарий, снижая количество рутины для ИБ-специалиста. ▪️Полный контекст В SOAR приходят все нужные данные от РАМ-платформы: кто подключился, к какому ресурсу, с какими правами, что делает в сессии. А помимо этого, SOAR агрегирует данные и из других источников, за счет чего можно видеть более детальную картину происходящего. ▫️Автоматические меры защиты В рамках сценариев можно в том числе заблокировать пользователя в LDAP/AD, разорвать активные сессии или ограничить доступ к критическим ресурсам. Как это работает? СКДПУ НТ выявляет отклонение (например, нарушение политики доступа) ➡️ инцидент передается в SOAR/IRP ➡️ запускается сценарий реагирования. В итоге SOC получает управляемый процесс реагирования, количество ручной работы снижается, а время реагирования сокращается. СКДПУ НТ уже интегрирована с решениями данных классов от Security Vision и R-Vision. #какэтосвязано