SOAR - Orkiestracja, Automatyzacja i Pomiar w SOC
„Szybkość i dokładność, a co za tym idzie, skuteczność reakcji są głównymi czynnikami, które należy brać pod uwagę przy odpowiedzi na incydent.
Wykrywanie i łagodzenie skutków zagrożeń musi być przeprowadzone szybko i precyzyjnie, aby ograniczyć szkody wynikające z naruszenia i przerwać ciąg ataku cybernetycznego (kill chain) zanim dojdzie do wypływu danych” Gartner
Dowiedz się więcej i odwiedź nasze Kompendium Wiedzy SOAR
Platforma orkiestracji i automatyzacji bezpieczeństwa oraz odpowiedzi na incydent (SOAR - Security Orchestration, Automation and Response zapewnia przeprowadzanie analizy incydentów oraz ich sortowanie i kategoryzacje, łącząc wykorzystanie możliwości czynnika ludzkiego z maszynowym, a zatem pozwala wspólnie definiować, priorytetyzować i sterować ustandaryzowanymi procesami reagowania na incydenty w przepływie pracy.
Działając jako multiplikator zasobów SOAR pozwala zespołom bezpieczeństwa realizować więcej zadań, zapewniając jednocześnie funkcje automatyzacji, orkiestracji i pomiaru w całym cyklu życia reakcji na incydent, w tym wykrywanie i kwalifikowanie incydentów bezpieczeństwa, ich segregacje, eskalacje, wzbogacanie, ograniczanie i usuwanie skutków. Celem wdrożenia technologii SOAR jest skrócenie czasu od wykrycia naruszenia do rozwiązania problemu oraz zminimalizowanie ryzyka związanego z incydentami bezpieczeństwa, przy jednoczesnym zwiększeniu zwrotu z inwestycji w istniejące technologie.
Stale zwiększająca się ilość cyberincydentów, które należy obsłużyć spowalnia system ich obsługi i znieczula personel bezpieczeństwa.
Czas obsługi wydłuża się, istotne incydenty przemykają niezauważone
- zbyt szczupły zespół bezpieczeństwa jest sfrustrowany i nadmiernie obciążony pracą?
- zalew fałszywych alarmów?
- niesatysfakcjonująca dokumentacja do obsługi incydentów?
- rutynowe „czynności do wykonania” pochłaniają mnóstwo czasu?
- niepewność, czy wybrano właściwy scenariusz postępowania z incydentem?
Przedstawiamy rozwiązanie, które pozwoli:
- korzystać z najlepszych praktyk i doświadczeń zawartych w Scenariuszach (Playbooks)
- osobom odpowiedzialnym za bezpieczeństwo zwiększyć wydajność dzięki dostępowi do dokumentacji, jaka jest im faktycznie potrzebna
- korzystać z wewnętrznej samouczącej się bazy wiedzy o incydentach rozwiązanych w przeszłości
- sięgać do specjalistycznych artykułów opisujących najlepsze praktyki postępowania z incydentami
- eliminować fałszywe alarmy poprzez korelację artefaktów i optymalizację reguł parsujących
- tuningować reguły alarmów z SIEM’a, sysloga czy innych źródeł
- precyzyjnie analizować alerty
- dostarczyć niezaprzeczalnych dowodów na potrzeby śledztw w sprawach cyberataków
- wygenerować raporty zgodności z GDPR (RODO) a analitykom da narzędzie do orkiestracji przepływu pracy i automatyzacji obsługi incydentów czyli
- uszczęśliwi członków zespołów cyberbezpieczeństwa
- zwiększy wydajność ich pracy oraz
- ….zrealizuje rzeczywisty wzrost wskaźników KPI.
Nie warto odkładać tego na później, potem będzie jeszcze więcej alarmów……
Chcesz wiedzieć więcej:
Czas na SOAR (obejrzyj prezentację wideo)
Sumo Logic (dawniej DFLabs) IncMan to platforma SOAR do automatyzacji, orkiestracji i pomiaru operacji związanych z bezpieczeństwem IT oraz obsługą procesów i zadań z zakresu reakcji na cyberincydenty.
Skraca czas odpowiedzi o 90%
Zwiększa efektywność analityków o 80%
Zwiększa ilość obsługiwanych zgłoszeń o 300%
Sterowanie odpowiedzą na incydent
Korzystaj z prostych lub warunkowych scenariuszy (ponad 100 załączonych szablonów) wspierających złożone, statyczne lub warunkowe podejmowanie decyzji w połączeniu z działaniami manualnymi lub automatycznymi.
Bezpieczna Wiedza o Bezpieczeństwie
Agreguj, koreluj i analizuj dane z setek, wiodących źródeł informacji o zagrożeniach, korzystając z ponad 35 certyfikowanych, dwukierunkowych konektorów i sprawdzonego interfejsu API do niestandardowych integracji.
Automatyzacja dzielenia się wiedzą
Utrzymuj i przekazuj fachową wiedzę przy wykorzystaniu opartej na uczeniu maszynowym Bazy Wiedzy o Automatycznej Reakcji na Incydent (ARK – Automated Responder Knowledge).
Automatyzuje
Supervised Active Intelligence
Sumo Logic-R3 – Rapid Response Runbooks (Podręczniki Szybkiego Reagowania) pozwalają na pełną automatyzację procesów segregacji incydentów, badania i ograniczania ich skutków dzięki zastosowaniu działań warunkowych oraz ponad 99 automatycznych akcji, umożliwiających w ramach przepływu pracy na wzbogacanie danych o incydencie, powiadamianie, ograniczanie skutków incydentu oraz podejmowanie niestandardowych działań na podstawie złożonych, statycznych lub logicznych decyzji.
Orkiestruje
Cyber Incidents under Control
Sumo Logic IncMan jest inteligentnym stanowiskiem dowodzenia w zakresie operacji związanych z bezpieczeństwem IT. Umożliwia orkiestrację pełnego cyklu reakcji na incydenty i etapów postępowania dochodzeniowego dla SOC (Security Operations Center) i CSIRT (Computer Security Incident Response Team). Jest znakomitym narzędziem pozwalającym osobom odpowiedzialnym za obsługę incydentów, śledczym i analitykom bezpieczeństwa na reagowanie, śledzenie, przewidywanie i wizualizację incydentów cyberbezpieczeństwa. Zapewnia menadżerom odpowiedzialnym za bezpieczeństwo IT pomiar i zarządzanie wydajnością operacyjną i ryzykiem cybernetycznym.
Mierzy
Full Incident Phase Management
Sumo Logic IncMan umożliwia pomiar, porównanie i optymalizację operacji bezpieczeństwa i reagowania na incydenty przy zastosowaniu ponad 140 raportów i wskaźników KPI (Key Performance Indicators – Kluczowe wskaźniki skuteczności). Dostosowujący się automatycznie do roli obserwatora pulpit nawigacyjny i konfigurowalne widżety budują w czasie rzeczywistym świadomość sytuacyjną operacji bezpieczeństwa oraz ekspozycji na ryzyko. Pomiar możliwy jest dla każdej indywidualnej fazy przepływu pracy w zakresie odpowiedzi na incydenty. IncMan zapewnia wizualizację i analizę zagrożeń.
Zgodnie z opinią firmy Gartner Sumo Logic IncMan jest najbardziej kompletnym rozwiązaniem klasy SOAR z najlepszym stosunkiem funkcjonalności do ceny. W ocenie Gartnera jest to jedyne rozwiązanie, które obejmuje wszystkie trzy obszary: SOA (Security Orchestration and Automation), SIRP (Security Incident Response Platform) i TIP (Threat Intelligence Platforms).