SFSOARForge
Демо →
ПЛАТФОРМА ДЛЯ SOC

Единый контур SOC, от тревоги до закрытого кейса.

SOARForge собирает контекст инцидента, предлагает проверенные действия и ведёт аналитика до контролируемого реагирования — без потери контроля над критичными шагами.

Запросить демо →Документация
response/block-firewall-ip.ymlШАГ 01 / 07
тревога

KUMA · alert.received(IR-4081)

идёт
approval

Approve IP Block · timeout 3600s

✋ ручной
fork

Block on both firewalls (fork/join)

⇄ параллель
cisco asa

Cisco ASA · block_ip(192.0.2.42)

ok +312ms
usergate

UserGate · create_block_addr(192.0.2.42)

ok +278ms
maxpatrol

PT MaxPatrol · update_incident(IR-4081)

ok +89ms
закрытие

Record block · status = blocked · 02:48

закрыто
ИСПОЛНЕНИЕ В РЕАЛЬНОМ ВРЕМЕНИКЕЙС · IR-4081 · 0%
response/block-firewall-ip.ymlШАГ 01 / 07
тревога

KUMA · alert.received(IR-4081)

идёт
approval

Approve IP Block · timeout 3600s

✋ ручной
fork

Block on both firewalls (fork/join)

⇄ параллель
cisco asa

Cisco ASA · block_ip(192.0.2.42)

ok +312ms
usergate

UserGate · create_block_addr(192.0.2.42)

ok +278ms
maxpatrol

PT MaxPatrol · update_incident(IR-4081)

ok +89ms
закрытие

Record block · status = blocked · 02:48

закрыто
ТЕКУЩИЙ ШАГ

тревогаKUMA · alert.received(IR-4081)

01 / 07
Прокрутка — исполнение
1000+
коннекторов

SIEM, EDR, киберразведка, тикетинг, email, webhooks, AI-провайдеры и кастомные источники через Integration IDE.

38 мс
типичный шаг плейбука

Операционный runtime исполняет сценарии под высоким потоком инцидентов с прозрачным контролем статусов.

Low-code
конструктор сценариев

Визуальный canvas: fork/join, approvals, ручные шаги, условия и циклы без необходимости писать код.

Multi-tenant
для MSSP и enterprise

Изоляция данных, ролей и квот по клиентам в едином контуре — для распределённых SOC и провайдеров.

ПЛАТФОРМА

От тревоги до закрытого инцидента в одном управляемом процессе.

SOARForge принимает сигналы из SOC-стека, собирает контекст, автоматизирует проверки, готовит действия реагирования и оставляет аналитику понятный кейс с доказательствами и журналом решений.

/ low-code

Конструктор плейбуков без кода

Собирайте сценарии реагирования в визуальном canvas: fork/join, approvals, ручные подтверждения, условия и циклы. Изменения видны команде SOC сразу.

/ runtime

Операционный runtime под нагрузкой

Шаг плейбука исполняется за миллисекунды (типичный ~38 мс). Стабильная работа под потоком инцидентов и прозрачные статусы для дежурного аналитика.

/ мультитенантность

Изоляция клиентов в одном контуре

Данные, роли и квоты разделены по клиентам — подходит для MSSP и распределённых enterprise-SOC. Федеративный обзор без копирования кейсов.

/ интеграции

1000+ коннекторов из коробки

KUMA, MaxPatrol SIEM, Kaspersky EDR, UserGate, Positive Technologies, Secret Net Studio, AD/LDAP, Jira, OpenCTI, MISP, кастомные REST через Integration IDE.

/ маркетплейс

Каталог готового покрытия

Покупатель видит доступные коннекторы, сценарии реагирования и пакеты контента. Новые запросы попадают в дорожную карту продукта.

/ управление

Аудит, роли и федерация

Ролевой доступ, журнал аудита, изоляция установок и федеративный обзор для MSSP. Контроль без скрытой автоматизации.

ИНТЕГРАЦИИ

1000+ коннекторов из коробки и Integration IDE для своих.

SIEM, EDR, киберразведка, тикетинг, AD/LDAP, email, webhooks. Российские и зарубежные решения в одном каталоге, а нужный коннектор можно собрать в Integration IDE без отдельного бэкенда.

KUMAMaxPatrol SIEMKaspersky EDRPositive TechnologiesSecret Net StudioUserGateMicrosoft AD / LDAPALD ProJiraMattermostPagerDutyOpenCTIMISPREST API
МАРКЕТПЛЕЙС

Готовые интеграции, сценарии реагирования и пакеты контента для SOC.

Каталог показывает покрытие по SIEM, EDR, киберразведке и тикетингу. Если нужного коннектора нет, запрос сразу попадает в дорожную карту продукта.

EDR / в плане

Kaspersky EDR Expert

Изоляция хоста, инвентаризация, обогащение детектов и действия реагирования через Kaspersky EDR Expert для SOC-сценариев.

EDR / XDR

изоляцияEDRkaspersky
SIEM / готово

Kaspersky SIEM

Приём тревог, синхронизация инцидентов и обогащение событий из Kaspersky SIEM (на базе KUMA) в едином окне SOC.

SIEM

SIEMkumakaspersky
SIEM / готово

MaxPatrol SIEM

Поиск контекста тревоги, корреляция событий и передача доказательств в хронологию SOARForge из MaxPatrol SIEM.

SIEM

SIEMmaxpatrolpositive-technologies
SOC-СЦЕНАРИИ

Зачем командам SOC и MSSP-операторам SOARForge.

Платформа закрывает рутинные задачи L1/L2-аналитиков, унифицирует процессы между сменами и команды, ускоряет MTTR без потери контроля над критичными действиями.

/ 01

Автоматизация L1/L2 triage без потери контроля аналитика

/ 02

Единая оркестрация нескольких инструментов SOC из одного интерфейса

/ 03

Ускорение MTTR и снижение ручной рутины при высоком потоке инцидентов

/ 04

Стандартизация процессов реагирования между командами и сменами

РАБОЧИЙ КОНТУР

Расследование, реагирование и аудит без второго инструмента.

Платформа объединяет приём тревог, кейс-менеджмент, поиск, сценарии реагирования, интеграции и доказательства. Автоматизация помогает, но критичные действия остаются под контролем аналитика.

Кейсы и тревогиSIEM/EDR webhooks, email ingest, REST APIЕдиный контур инцидентов, плейбуков и Jobs с управлением SLA и маршрутизацией
ПлейбукиLow-code canvas, fork/join, approvals, BullMQСценарии реагирования без кода: ветвления, ручные шаги, таймеры, повторные попытки
Интеграции1000+ коннекторов + Integration IDEKUMA, MaxPatrol, Kaspersky EDR, UserGate, AD/LDAP, Jira, OpenCTI, MISP, REST API
МультитенантИзоляция данных, ролей и квотКонтур для MSSP и распределённых enterprise-SOC, федеративный обзор
ДоказательстваPostgreSQL + хранилище + auditПолный аудит действий, экспорт метрик и обоснование решений аналитика
Threat IntelOpenCTI, MISP, email/webhook ingestОбогащение алертов и автоматизированный triage L1/L2 без потери контроля
ДЕМО

Начнём с вашего SOC-сценария.

Фишинг, изоляция хоста через EDR, федерация для MSSP, перенос существующих процессов реагирования или новый коннектор маркетплейса. Заявка попадёт в рабочий процесс команды SOARForge.