Tri základné možnosti SOAR pomáhajú tímom SOC efektívnejšie spolupracovať na ochrane organizácií: orchestrácia zabezpečenia, automatizácia zabezpečenia a reakcia na incidenty.
Orchestrácia zabezpečenia Orchestrácia zabezpečenia je koordinačná vrstva. Prepája existujúce technológie, ako sú SIEM, detekcia a reakcia na koncových bodoch (EDR), rozšírená detekcia a reakcia (
XDR), ochrana identít, zabezpečenie e-mailu, brány firewall a riešenia analýzy hrozieb, aby centralizovala
detekciu hrozieb, vyšetrovanie a reakciu.
Ak napríklad riešenie SIEM identifikuje možné kompromitovanie konta, riešenie SOAR môže:
- Automaticky zhromaždiť kontextové údaje zo systému správy identít.
- Porovnať pokus o prihlásenie so zdrojmi analýzy hrozieb a posúdiť riziko.
- Skontrolovať aktivitu používateľa v nástrojoch zabezpečenia koncových bodov a vyhľadať príznaky kompromitovania alebo laterálneho pohybu.
- Načítať nedávnu históriu prihlásení z denníkov prístupu.
- Koordinovať reakciu naprieč príslušnými systémami s cieľom obmedziť hrozbu.
Organizácie bez riešenia SOAR by museli každý z týchto krokov vykonať manuálne. Vďaka orchestrácii môžu tímy vytvárať pracovné postupy, ktoré štruktúrovaným spôsobom presúvajú informácie medzi systémami.
Automatizácia zabezpečenia Automatizácia zabezpečenia znižuje manuálnu pracovnú záťaž spojenú s opakovanými a časovo citlivými úlohami. V rámci riešenia SOAR môžu tímy vytvárať pracovné postupy, ktoré opisujú podrobné kroky pre konkrétne typy incidentov, napríklad:
- Obohacovanie výstrah o analýzu hrozieb.
- Zhromažďovanie kontextových údajov z koncových bodov alebo systémov identít.
- Blokovanie škodlivých IP adries.
- Zakazovanie kompromitovaných kont.
- Informovanie zainteresovaných strán a dokumentovanie akcií.
Automatizáciou týchto krokov bezpečnostné tímy reagujú rýchlejšie a konzistentnejšie, najmä počas udalostí s veľkým objemom výstrah.
Reakcia na incidenty Keďže zabezpečenie SOAR agreguje a analyzuje údaje z viacerých riešení, poskytuje centralizovaný riadiaci panel na správu reakcie na incidenty. Vďaka tomu je jednoduchšie korelovať výstrahy naprieč rôznymi systémami a vyšetrovať hrozbu naprieč doménami.
Organizácie používajú riešenia SOAR aj na štandardizáciu toho, ako incidenty obmedzujú, napravujú a dokumentujú. Namiesto toho, aby sa tímy spoliehali len na skúsenosti jednotlivých analytikov, používajú preddefinované pracovné postupy, ktoré ich vedú pri reakcii na incidenty. Pomáha to organizáciám presadzovať silnejšie riadenie, jasnejšiu zodpovednosť a predvídateľnejšie výsledky.
Sledujte zabezpečenie od spoločnosti Microsoft