SOAR - Orkiestracja, Automatyzacja i Pomiar w SOC

„Szybkość i dokładność, a co za tym idzie, skuteczność reakcji są głównymi czynnikami, które należy brać pod uwagę przy odpowiedzi na incydent.
Wykrywanie i łagodzenie skutków zagrożeń musi być przeprowadzone szybko i precyzyjnie, aby ograniczyć szkody wynikające z naruszenia i przerwać ciąg ataku cybernetycznego (kill chain) zanim dojdzie do wypływu danych” Gartner

p
 

Dowiedz się więcej i odwiedź nasze Kompendium Wiedzy SOAR

Platforma orkiestracji i automatyzacji bezpieczeństwa oraz odpowiedzi na incydent (SOAR - Security Orchestration, Automation and Response zapewnia przeprowadzanie analizy incydentów oraz ich sortowanie i kategoryzacje, łącząc wykorzystanie możliwości czynnika ludzkiego z maszynowym, a zatem pozwala wspólnie definiować, priorytetyzować i sterować ustandaryzowanymi procesami reagowania na incydenty w przepływie pracy.

Działając jako multiplikator zasobów SOAR pozwala zespołom bezpieczeństwa realizować więcej zadań, zapewniając jednocześnie funkcje automatyzacji, orkiestracji i pomiaru w całym cyklu życia reakcji na incydent, w tym wykrywanie i kwalifikowanie incydentów bezpieczeństwa, ich segregacje, eskalacje, wzbogacanie, ograniczanie i usuwanie skutków. Celem wdrożenia technologii SOAR jest skrócenie czasu od wykrycia naruszenia do rozwiązania problemu oraz zminimalizowanie ryzyka związanego z incydentami bezpieczeństwa, przy jednoczesnym zwiększeniu zwrotu z inwestycji w istniejące technologie.

Stale zwiększająca się ilość cyberincydentów, które należy obsłużyć spowalnia system ich obsługi i znieczula personel bezpieczeństwa.

Czas obsługi wydłuża się, istotne incydenty przemykają niezauważone

  • zbyt szczupły zespół bezpieczeństwa jest sfrustrowany i nadmiernie obciążony pracą?
  • zalew fałszywych alarmów?
  • niesatysfakcjonująca dokumentacja do obsługi incydentów?
  • rutynowe „czynności do wykonania” pochłaniają mnóstwo czasu?
  • niepewność, czy wybrano właściwy scenariusz postępowania z incydentem?

Przedstawiamy rozwiązanie, które pozwoli:

  • korzystać z najlepszych praktyk i doświadczeń zawartych w Scenariuszach (Playbooks)
  • osobom odpowiedzialnym za bezpieczeństwo zwiększyć wydajność dzięki dostępowi do dokumentacji, jaka jest im faktycznie potrzebna
  • korzystać z wewnętrznej samouczącej się bazy wiedzy o incydentach rozwiązanych w przeszłości
  • sięgać do specjalistycznych artykułów opisujących najlepsze praktyki postępowania z incydentami
  • eliminować fałszywe alarmy poprzez korelację artefaktów i optymalizację reguł parsujących
  • tuningować reguły alarmów z SIEM’a, sysloga czy innych źródeł
  • precyzyjnie analizować alerty
  • dostarczyć niezaprzeczalnych dowodów na potrzeby śledztw w sprawach cyberataków
  • wygenerować raporty zgodności z GDPR (RODO) a analitykom da narzędzie do orkiestracji przepływu pracy i automatyzacji obsługi incydentów czyli
  • uszczęśliwi członków zespołów cyberbezpieczeństwa
  • zwiększy wydajność ich pracy oraz
  • ….zrealizuje rzeczywisty wzrost wskaźników KPI.

Nie warto odkładać tego na później, potem będzie jeszcze więcej alarmów……

Chcesz wiedzieć więcej:

Czas na SOAR (obejrzyj prezentację wideo)

Sumo Logic (dawniej DFLabs) IncMan to platforma SOAR do automatyzacji, orkiestracji i pomiaru operacji związanych z bezpieczeństwem IT oraz obsługą procesów i zadań z zakresu reakcji na cyberincydenty.

Skraca czas odpowiedzi o 90%

Zwiększa efektywność analityków o 80%

Zwiększa ilość obsługiwanych zgłoszeń o 300%

Sterowanie odpowiedzą na incydent

Korzystaj z prostych lub warunkowych scenariuszy (ponad 100 załączonych szablonów) wspierających złożone, statyczne lub warunkowe podejmowanie decyzji w połączeniu z działaniami manualnymi lub automatycznymi.

Bezpieczna Wiedza o Bezpieczeństwie

Agreguj, koreluj i analizuj dane z setek, wiodących źródeł informacji o zagrożeniach, korzystając z ponad 35 certyfikowanych, dwukierunkowych konektorów i sprawdzonego interfejsu API do niestandardowych integracji.

Automatyzacja dzielenia się wiedzą

Utrzymuj i przekazuj fachową wiedzę przy wykorzystaniu opartej na uczeniu maszynowym Bazy Wiedzy o Automatycznej Reakcji na Incydent (ARK – Automated Responder Knowledge).

Automatyzuje

Supervised Active Intelligence

Sumo Logic-R3 – Rapid Response Runbooks (Podręczniki Szybkiego Reagowania) pozwalają na pełną automatyzację procesów segregacji incydentów, badania i ograniczania ich skutków dzięki zastosowaniu działań warunkowych oraz ponad 99 automatycznych akcji, umożliwiających w ramach przepływu pracy na wzbogacanie danych o incydencie, powiadamianie, ograniczanie skutków incydentu oraz podejmowanie niestandardowych działań na podstawie złożonych, statycznych lub logicznych decyzji.

Orkiestruje

Cyber Incidents under Control

Sumo Logic IncMan jest inteligentnym stanowiskiem dowodzenia w zakresie operacji związanych z bezpieczeństwem IT. Umożliwia orkiestrację pełnego cyklu reakcji na incydenty i etapów postępowania dochodzeniowego dla SOC (Security Operations Center) i CSIRT (Computer Security Incident Response Team). Jest znakomitym narzędziem pozwalającym osobom odpowiedzialnym za obsługę incydentów, śledczym i analitykom bezpieczeństwa na reagowanie, śledzenie, przewidywanie i wizualizację incydentów cyberbezpieczeństwa. Zapewnia menadżerom odpowiedzialnym za bezpieczeństwo IT pomiar i zarządzanie wydajnością operacyjną i ryzykiem cybernetycznym.

Mierzy

Full Incident Phase Management

Sumo Logic IncMan umożliwia pomiar, porównanie i optymalizację operacji bezpieczeństwa i reagowania na incydenty przy zastosowaniu ponad 140 raportów i wskaźników KPI (Key Performance Indicators – Kluczowe wskaźniki skuteczności). Dostosowujący się automatycznie do roli obserwatora pulpit nawigacyjny i konfigurowalne widżety budują w czasie rzeczywistym świadomość sytuacyjną operacji bezpieczeństwa oraz ekspozycji na ryzyko. Pomiar możliwy jest dla każdej indywidualnej fazy przepływu pracy w zakresie odpowiedzi na incydenty. IncMan zapewnia wizualizację i analizę zagrożeń.

Zgodnie z opinią firmy Gartner Sumo Logic IncMan jest najbardziej kompletnym rozwiązaniem klasy SOAR z najlepszym stosunkiem funkcjonalności do ceny. W ocenie Gartnera jest to jedyne rozwiązanie, które obejmuje wszystkie trzy obszary: SOA (Security Orchestration and Automation), SIRP (Security Incident Response Platform) i TIP (Threat Intelligence Platforms).