Trace Id is missing
Pāriet uz galveno saturu
Microsoft drošība

Kas ir SOAR?

Atklājiet un apturiet uzbrukumus visā savā drošības uzņēmumā, izmantojot Microsoft Sentinel, kas ir mūsdienīgs SecOps risinājums.

SOAR definīcija

Drošības orķestrācija, automatizācija un reaģēšana (SOAR) attiecas uz tādu pakalpojumu un rīku kopu, kas automatizē kiberuzbrukumu novēršanu un reaģēšanu uz tiem. Šī automatizācija tiek panākta, apvienojot jūsu integrācijas, definējot, kā uzdevumiem ir jādarbojas, un izstrādājot atbildes uz incidentu plānu, kas atbilst jūsu organizācijas vajadzībām. 

Ar SOAR tehnoloģiju palīdzību drošības operāciju centra (security operation center — SOC) komandas, kas iepriekš bija pārpludinātas ar atkārtotiem un laikietilpīgiem uzdevumiem, tagad var efektīvāk novērst incidentus, tādējādi samazinot izmaksas, aizpildot pārklājuma atstarpes un uzlabojot produktivitāti.

Kā SOAR darbojas?

SOAR parasti sastāv no trim komponentiem, kas sadarbojas, lai atrastu un apturētu uzbrukumus: orķestrācija, automatizācija un reakcija uz incidentu.  

Orķestrācija savieno iekšējos un ārējos rīkus, tostarp lietošanai gatavās un pielāgotās integrācijas, lai tām varētu piekļūt no vienas centralizētas vietas. Tas ļauj konsolidēt datus un racionalizēt procesus, sagatavojoties automatizācijai. 

Automatizācija programmē uzdevumus tā, lai tie tiktu izpildīti paši par sevi. Tas tiek paveikts, izmantojot rokasgrāmatas vai to darbplūsmu kolekcijas, kas tiek automātiski izpildītas, kad to izraisa kāda kārtula vai incidents. Rokasgrāmatas ļauj automatizēt uzdevumus, pārvaldīt brīdinājumus un izveidot atbildes uz draudiem un incidentiem.

Orķestrācija un automatizācija veido pamatu mākslīgā intelekta atbildei uz incidentu, kā rezultātā notiek ātrākas, precīzākas atbildes un ir mazāk drošības problēmu, kas jākoriģē.

SOAR salīdzinājums ar SIEM

Ja pētāt drošības risinājumus, visticamāk, esat atradis kādu saistītu drošības rīku ar līdzīgu akronīmu: drošības informācijas un notikumu pārvaldība (security information and event management — SIEM). Kas ir SIEM un ar ko tā atšķiras no SOAR? Kad viens risinājums ir jāizmanto otra vietā?

Lai gan SOAR rīki galvenokārt tiek izmantoti, lai orķestrētu un automatizētu atbildes reakciju uz draudiem, SIEM piedāvā labāku darbību redzamību, izmantojot draudu noteikšanu, žurnālu pārvaldību, incidentu analīzi, kā arī normatīvo un standartu atbilstību. Šī redzamība tiek panākta, reģistrējot un konsolidējot vairākas datu straumes no jūsu tīkla, un šādi nodrošinot augta līmeņa pārskatu par jūsu organizācijas vispārējo drošības ainavu.

Abas šīs sistēmas vislabāk darbojas kopā. SIEM apkopo un analizē datus, SOAR darbojas, pamatojoties uz šiem datiem, tā veidojot pilnīgu risinājumu riska noteikšanai, redzamībai un reaģēšanai.

Automatizācija un orķestrācija

Aplūkosim sīkāk šos abus pamatkomponentus — drošības automatizāciju un orķestrāciju —, kas SOAR padara iespējamu, kā arī to, ar ko tie atšķiras un kā papildina viens otru.

Drošības automatizācija sniedz jums iespēju nospraust tādu darbību kursu, kas notiek pats par sevi. Piemēram, varat izmantot automatizāciju, lai programmētu uzdevumus, brīdinājumus vai atbildes uz incidentiem. Automatizācija arī palīdz paātrināt drošības procesus, piemēram, apdraudējumu medības un koriģēšanu, lai potenciālie apdraudējumi jūsu vidē tiktu novērsti, veicot mazāk darbību. Racionalizējot uzdevumus un procesus, SOC komandas velta mazāk laika nebeidzamu brīdinājumu šķirošanai un var koncentrēties uz svarīgiem signāliem.  

Drošības orķestrācija sniedz jums iespēju veidot savienojumus ar visdažādākajiem rīkiem un integrācijām, lai informāciju varētu centralizēt un koplietot. Orķestrācija šiem rīkiem ļauj arī reaģēt uz incidentiem kā grupai visā vidē pat tad, ja dati ir izkliedēti visā tīklā. Šo iespēju dēļ orķestrācija ir būtiski svarīga liela mēroga automatizācijas koordinēšanai.  

Drošības automatizācija vienkāršo uzdevumus, lai tie labāk darbotos, bet drošības orķestrācija vieno rīkus tā, lai tie darbotos kopā. Abi SOAR komponenti sadarbojas, lai veidotu saistītāku sistēmu, maksimizējot efektivitāti no sākuma līdz beigām.

Kāpēc SOAR ir svarīga?

Kiberuzbrukumi notiek biežāk nekā jebkad agrāk, turklāt tie kļūst arvien izsmalcinātāki. Tāpēc daudzas organizācijas tagad piešķir prioritāti kiberdrošībai, un tāpēc uzņēmumi un patērētāji katru gadu arvien palielināt savus tēriņus drošības risinājumiem.

Neskatoties uz to, kibernoziedznieki nav samazinājuši savus centienus. Datu drošības pārkāpumi pieaug, sniedzot ļoti daudz brīdinājumu, kas katru dienu rada sasprindzinājumu SOC komandām. Manuāla reaģēšana uz šiem brīdinājumiem var būt laikietilpīga, sarežģīta un neprecīza. Un, tā kā no dažādām sistēmām nāk ļoti daudz paziņojumu, kļūst arvien grūtāk atsijāt troksni un iegūt skaidru un saistītu pārskatu par jūsu drošības ainavu.  

Šeit palīdz SOAR. SOAR tehnoloģija nodrošina visaptverošu sistēmu, kas automātiski identificē ievainojamības un reaģē uz tām bez cilvēku iejaukšanās. Izmantojot SOAR rīkus, organizācija var definēt un iestatīt, kā tie reaģē uz notikumu, atbrīvojot laiku un budžetu, lai koncentrētos uz augstākas prioritātes projektiem.

SOAR ieguvumi

SOAR rīki ir būtiski svarīgi, lai racionalizētu savu pieeju SecOps darbībai. Atklājiet daudzas ilgtermiņa priekšrocības, ko sniedz SOAR pievienošana jūsu drošības risinājumu komplektam.

  • Labāka produktivitāte

    SOAR rīki samazina atkārtoti veicamo, laikietilpīgo uzdevumu un operāciju apjomu. Tas ļauj jūsu komandai strādāt viedāk, nevis smagāk.

  • Centralizēts darbību skats

    SOAR risinājumi integrē dažādus rīkus no dažādiem piegādātājiem, lai tie visi būtu vienuviet. SOC komandas pēc tam var ērti piekļūt nepieciešamajai informācijai, lai izpētītu un koriģētu incidentus.

  • Izmaksu optimizācija

    Drošības piegādātāju konsolidēšana var palīdzēt samazināt darbības izmaksas par līdz pat 60 procentiem, kas jūsu budžetā ļauj rast līdzekļus augstākas prioritātes vajadzībām.

  • Ērta sadarbība un pievienošana

    Orķestrācijas rīki vieno sistēmas, piedāvājot pareizos rīkus pareizajām personām un sniedzot tām datus, kas ir nepieciešami, lai sāktu pieņemt pārdomātākus lēmumus.

  • Ātrāks atbildes laiks

    Automatizējot atbildes uz incidentiem visdažādākajos scenārijos, SOAR rīki ievērojami samazina vidējo atbildes laiku, kas nodrošina ātrāku un precīzāku risinājumu ar līdz pat 79 procentiem mazāku aplami pozitīvo gadījumu skaitu.

  • Arvien attīstītāku uzbrukumu novēršana

    Ar draudu informāciju SOAR rīki sniedz plašāku ieskatu par potenciālajiem riskiem, izmantojot datus, ļaujot jūsu komandai veikt jēgpilnāku izmeklēšanu sarežģītu incidentu gadījumā.

SOAR paraugprakse

Pārliecinieties, vai jūsu SOAR risinājums atbilst jūsu organizācijas vajadzībām. Uzziniet, ko meklēt, izmantojot šos ieteiktos līdzekļus un iespējas.

  • Automātiska reaģēšana uz incidentu

    Efektīvā SOAR risinājumā ir jābūt iespējai pārraudzīt drošības brīdinājumus un reaģēt uz tiem, izmantojot rīkus, kas atvieglo automatizāciju.

  • Vadība

    Rīkiem ir jābūt savstarpēji saistāmiem un jādarbojas kā grupai. Jūs arī vēlēsities nodrošināt, lai vēlamās integrācijas būtu saderīgas ar esošo vidi.

  • Draudu informācija

    Daudzas SOAR platformas izmanto draudu informāciju, lai apkopotu kontekstuālus datus par potenciāli ļaunprātīgām darbībām. Tas palīdz drošības grupām izlemt par labāko rīcības kursu, lai uzturētu aizsardzību.

  • Jaudīga incidentu pārvaldība

    Incidenti ir jādokumentē, jāpārvalda un jāizmeklē no vienas centralizētas vietas. Tas palīdz identificēt un pārvaldīt apdraudējumus — gan potenciālus, gan nezināmus.

  • Rokasgrāmatas automatizācija

    Novērtējot SOAR risinājumus, jūs vēlēsities spēt izveidot dažādas rokasgrāmatas un piekļūt gan iepriekš izveidotām, gan pielāgotām darbplūsmām.

  • Mērogojama, elastīga infrastruktūra

    Tā kā tehnoloģija ir nepārtrauktas maiņas stāvoklī, mērogojamība un pieejamība ir būtiski svarīga SOAR risinājumā. Atrodiet risinājumu, kuru var mērogot abos virzienos atbilstoši jūsu vajadzībām.

SOAR risinājumi

Katra organizācija ir citāda, tāpēc var būt grūti atrast pareizo SOAR risinājumu. Lai nodrošinātu optimālu sadarbību, SOAR risinājumam ir jābūt saderīgam ar jūsu vēlamajiem rīkiem un procesiem, kā arī ar jūsu esošo vidi. Tam būtu jāpiedāvā izmantošanai jau gatavas automatizācijas, kas ir gan jaudīgas, gan pielāgojamas, gan arī elastīgas, runājot par izvietošanu, kā arī mērogojamas atbilstoši jūsu vajadzībām.

Lai iegūtu pilnīgu, visaptverošu uzņēmuma risinājumu, kas nosedz uzbrukumu noteikšanu, apdraudējumu redzamību un atbildes reakciju, jūs vēlēsities izpētīt pakalpojumus, kuriem ir gan SOAR, gan arī SIEM iespējas. Microsoft SentinelMicrosoft Sentinel ir mērogojams mākonī izvietots SecOps risinājums, kurā ir iebūvēta orķestrācija un automatizācija, kā arī ir iespēja nodrošināt redzamību visā uzņēmumā. Izmantojot Microsoft Sentinel, viena platforma apstrādā visas jūsu drošības vajadzības.

Papildinformācija par komplektu Microsoft drošība

Microsoft SIEM un XDR

Iegūstiet integrētu pretdraudu aizsardzību visās savās ierīcēs, izmantojot mākonī izvietotu SIEM un XDR.

Papildinformācija

Microsoft Defender XDR

Izjauciet starpdomēnu uzbrukumus, izmantojot vienotā XDR risinājuma iekļauto izvērsto redzamību un nepārspējamu mākslīgo intelektu.

Papildinformācija

Microsoft SIEM un XDR kopējā ekonomiskā ietekme (Total Economic Impact™)

Atklājiet ilgtermiņa izmaksu ietaupījumus un uzņēmējdarbības ieguvumus, ko nodrošina ieguldījums Microsoft SIEM un XDR tehnoloģijā.

Papildinformācija

Bieži uzdotie jautājumi

  • Organizācijas izmanto SOAR rīkus, lai automatizētu savas drošības darbības un efektīvāk reaģētu uz incidentiem. Šī racionalizētā pieeja drošībai ļauj vairāk samazināt izmaksas, pārklājuma atstarpes un iegūt produktīvāku drošības darbību komandu.

  • SOAR parasti tiek ieviesta, izmantojot orķestrāciju, automatizāciju un atbildes reakciju. Orķestrācijas rīki dažādas integrācijas un sistēmas apvieno vienā centralizētā vietā, bet automatizācija, kas parasti tiek iespējota, izmantojot rokasgrāmatas, iestata un definē, kad ir jāveic kāda darbība. Abi šie komponenti darbojas kopā, lai veidotu automatizētu automatizēta atbildes uz incidentu sistēmu, kas darbojas efektīvi un ātri.

  • SOC komandas katru dienu saņem milzīgu drošības brīdinājumu apjomu. SOAR rīki palīdz mazināt daļu no šī spiediena, automatizējot laikietilpīgus uzdevumus un procesus, veidojot pamatu atbildes uz incidentu sistēmai, kas pati reaģē un atrisina brīdinājumus. Tādējādi SOC komandām tiek atbrīvots laiks, lai koncentrētos uz augstākas prioritātes uzdevumiem. 

  • Jaunāka tehnoloģija, kurai ir daudzas līdzības ar SIEM un SOAR, paplašinātā atklāšana un reaģēšana (extended detection and response — XDR) integrē datus visā vidē, lai noteiktu apdraudējumus un reaģētu uz tiem. Gan XDR, gan SOAR spēj automatizēt darbplūsmas un atbildes reakcijas, tomēr SOAR ir vienīgais risinājums, kas atbalsta orķestrāciju.

  • Drošības orķestrācijas, automatizācijas un reaģēšanas (SOAR) tehnoloģija attiecas uz rīku vai pakalpojumu kopu, kas palīdz integrēt un automatizēt ar drošību saistītus uzdevumus un procesus.

Sekot Microsoft 365