TOAR aitab turbetoimingute keskuse meeskondadel organisatsiooni kaitseks tõhusamalt koostööd kolmel peamisel viisil: turbekorraldus, turbeautomaatika ja intsidentidele reageerimine.
Turbekorraldus Turbekorraldus on koordineerimiskiht. See ühendab olemasolevad tehnoloogiad, nagu SIEM, lõpp-punkti ohutuvastus ja -kõrvaldus (EDR), laiendatud ohutuvastus ja -kõrvaldus (
XDR), identiteedikaitse, meiliturve, tulemüürid ja ohuanalüüsilahendused, et koondada
ohutuvastus, -uurimine ja -reageerimine ühte kohta kokku.
Näiteks kui SIEM-lahendus tuvastab võimaliku konto turberikke, saab TOAR-lahendus teha näiteks järgmist.
- Kasutajahaldussüsteemist automaatselt kontekstipõhiste andmete kogumine.
- Ristviitamine sisselogimiskatsele ja ohuanalüüsiallikale, et riski hinnata.
- Kasutaja tegevuse kontrollimine lõpp-punkti turberiistade lõikes, et leida turberikke või külgliikumise märke.
- Juurdepääsulogidest hiljutise sisselogimisajaloo toomine.
- Ohu ohjamiseks asjakohaste süsteemide lõikes reageerimistegevuse korraldamine.
TOAR-lahenduseta organisatsioonid peaksid kõik need toimingud käsitsi tegema. Korralduse abil saavad meeskonnad luua töövooge, mis liigutavad teavet struktuurselt ühest süsteemist teise.
Turbeautomaatika Turbeautomaatika vähendab korduvate ja ajatundlike ülesannetega seotud käsitsitöökoormust. TOAR-lahenduse abil saavad meeskonnad luua konkreetset tüüpi intsidentide järgi samm-sammult liigendatud töövooge, mis on näiteks järgmised.
- Teadete rikastamine ohuteabe abil.
- Kontekstipõhiste andmete kogumine lõpp-punktidest või identiteedisüsteemidest.
- Ründe-IP-aadresside blokeerimine.
- Turberikkega kontode keelamine.
- Huvirühmade teavitamine ja toimingute dokumenteerimine.
Nende toimingute automatiseerimise abil reageerivad turbemeeskonnad kiiremini ja järjepidevamalt, eriti mahukate sündmuste korral.
Intsidentidele reageerimine Kuna TOAR-turbelahendus koondab ja analüüsib mitmest lahendusest pärit andmeid, on sellel keskne andmelaud, mille abil intsidentidele reageerida. See hõlbustab süsteemide lõikes teadete korreleerimist ning domeeniüleste ohtude uurimist.
Organisatsioonid kasutavad TOAR-lahendusi ka selleks, et standardida viise, kuidas need intsidente ohjavad, kahjutustavad ja dokumenteerivad. Selle asemel, et toetuda ainult üksikute analüütikute kogemustele, juhinduvad meeskonnad intsidentidele reageerimiseks ettemääratud töövoogudest. See aitab organisatsioonidel jõustada paremat juhtimist, selgemat vastutust ja prognoositavamaid tulemusi.
Jälgige Microsofti turbeteenust