SC SIEM внедрила модуль расследования инцидентов

Российская система мониторинга информационной безопасности Security Capsule SIEM получила новый функционал для расследования и управления инцидентами. Обновление расширяет возможности работы SOC и ИБ-подразделений: теперь система помогает не только выявить угрозу, но и провести инцидент через весь цикл обработки — от первичного сигнала до закрытия.

Ключевым элементом новой функции стала единая карточка инцидента. В ней объединены описание, расследование, управление и дополнительный контекст по угрозе. Такой подход позволяет аналитикам работать не с набором разрозненных срабатываний, а с целостной картиной инцидента в одном интерфейсе.

Во вкладке расследования доступна пользовательская хронологическая шкала. В нее можно добавлять связанные события, другие инциденты, индикаторы компрометации, ссылки, комментарии и заметки. Это помогает восстановить последовательность действий злоумышленника, зафиксировать гипотезы аналитика и сохранить доказательную базу внутри системы.

Отдельный блок посвящен управлению жизненным циклом инцидента. Оператор может назначать ответственного пользователя или группу, устанавливать сроки, добавлять комментарии и переводить инцидент между этапами обработки. В системе реализованы девять статусов расследования, а переходы между ними контролируются встроенной логикой допустимых состояний.

Еще одна часть обновления — автоматическая фиксация служебных действий в ходе расследования. В карточке инцидента сохраняются изменения статуса, назначения, закрытие, обращения к ИИ-ассистенту и запросы к сведениям об угрозах. Это упрощает передачу инцидента между сменами и снижает риск потери контекста.

Кроме того, Security Capsule SIEM поддерживает передачу инцидентов во внешние процессы через JSON, webhook, электронную почту. По оценке разработчика, новый функционал должен повысить прозрачность расследований, ускорить взаимодействие между специалистами и сделать обработку инцидентов более управляемой для организаций с действующим SOC.