This is the Trace Id: 8102a1e56db322cfcca82be3b97b5ef6
Перейти к основному контенту Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Посмотреть все продукты Кибербезопасность на базе искусственного интеллекта Безопасность облака Безопасность данных и управление ими Идентификация и доступ к сети Конфиденциальность и управление рисками Защита для ИИ Для малого и среднего бизнеса Унифицированные операции по обеспечению безопасности Модель "Никому не доверяй" Цены Услуги Партнеры Преимущества Microsoft Security Осведомленность о кибербезопасности Истории клиентов Основы безопасности Пробные версии продуктов Признание в отрасли Центр по реагированию на угрозы Блог Microsoft Security Мероприятия Microsoft Security Сообщество технических специалистов Майкрософт Документация Библиотека технических материалов Обучение и сертификация Комплаенс-программа для Microsoft Cloud Центр управления безопасностью Майкрософт Service Trust Portal Microsoft Инициатива «Безопасное будущее» Центр решений для бизнеса Связь с отделом продаж Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 ИИ от Майкрософт Azure Space Смешанная реальность Microsoft HoloLens Microsoft Viva Квантовые вычисления Образование: Автомобили Финансовые услуги Государственный сектор Здравоохранение Производство Розничная торговля Найти партнера Стать партнером Партнерская сеть Microsoft Marketplace Компании-разработчики программного обеспечения Блог Microsoft Advertising Центр разработчиков Документация Мероприятия Лицензирование Microsoft Learn Microsoft Research Посмотреть карту сайта
Два человека просматривают что-то на планшете в офисе, один из них указывает на экран.

Что такое SOAR?

Узнайте, что такое система оркестрации, автоматизации ИБ и реагирования на них (SOAR), почему она важна и как она помогает оптимизировать операции кибербезопасности.

SOAR — это решение для операций по обеспечению безопасности, которое помогает командам безопасности исследовать и устранять угрозы в большом масштабе. Используя сборники схем для автоматизации рабочих процессов, команды могут сократить объем ручной работы, повысить согласованность и быстрее реагировать в различных средствах безопасности.

  • SOAR помогает центрам информационной безопасности стандартизировать и масштабировать реагирование на инциденты по мере роста объема оповещений.
  • Автоматизированные рабочие процессы снижают нагрузку на аналитиков и ускоряют исследование, локализацию и устранение угроз.
  • Оркестрируя действия в средствах безопасности, SOAR повышает согласованность, видимость и эффективность работы.
  • Современные возможности SOAR все чаще встраиваются в систему управления информационной безопасностью и событиями безопасности (SIEM) и дополняются рабочими процессами с поддержкой ИИ.

SOAR: объяснение

Команды операций по обеспечению безопасности используют множество средств для обнаружения угроз и реагирования на них. Без оркестрации аналитикам приходится вручную переключаться между системами, собирать контекст и принимать решения под давлением. Это приводит к более медленному реагированию, усталости от оповещений и несогласованности результатов.

SOAR помогает решить эти проблемы, преобразуя процессы реагирования в повторяемые рабочие процессы. С помощью сборников схем команды могут автоматически обогащать оповещения, координировать действия в различных средствах и помогать аналитикам выполнять согласованные шаги по исследованию и реагированию, не исключая контроль со стороны человека.

Как это работает

Существуют три ключевые возможности SOAR, которые помогают командам SOC эффективнее работать вместе для защиты организации: оркестрация безопасности, автоматизация безопасности и реагирование на инциденты.

Оркестрация безопасности

Оркестрация безопасности выполняется на уровне координации. Она объединяет существующие технологии, такие как SIEM, обнаружение и нейтрализация атак на конечные точки (EDR), Extended Detection and Response (XDR), защита удостоверений, безопасность электронной почты, брандмауэры и решения для аналитики угроз, чтобы централизовать обнаружение угроз, их исследование и реагирование на них.

Например, если решение SIEM выявляет возможную компрометацию учетной записи, решение SOAR может:
 
  • ⁠автоматически собрать контекстные данные в системе управления удостоверениями;
  • сопоставить попытку входа с источниками аналитики угроз, чтобы оценить риск;
  • проверить действия пользователя в средствах защиты конечных точек на наличие признаков компрометации или бокового перемещения;
  • получить историю последних входов из журналов доступа;
  • скоординировать реагирование в соответствующих системах, чтобы локализовать угрозу.
Организациям без решения SOAR пришлось бы выполнять каждый из этих шагов вручную. Благодаря оркестрации команды могут создавать рабочие процессы, которые передают информацию между системами в структурированной форме.

Автоматизация безопасности
Автоматизация безопасности снижает объем ручной работы, связанной с повторяющимися и неотложными задачами. В решении SOAR команды могут создавать рабочие процессы, в которых описаны пошаговые действия для конкретных типов инцидентов, например:

  • обогащение оповещений данными аналитики угроз;
  • ⁠сбор контекстных данных в конечных точках или системах удостоверений;
  • блокировка вредоносных IP-адресов;
  • блокировка скомпрометированных учетных записей;
  • уведомление заинтересованных лиц и документирование действий.
Автоматизация этих шагов помогает командам безопасности реагировать быстрее и согласованнее, особенно в случае событий с большим объемом данных.

Реагирование на инциденты
SOAR собирает и анализирует данные из нескольких решений, поэтому для управления реагированием на инциденты предусмотрена централизованная панель мониторинга. Это упрощает корреляцию оповещений в разных системах и исследование угроз, затрагивающих несколько доменов.

Организации также используют решения SOAR, чтобы стандартизировать локализацию, устранение и документирование инцидентов. Вместо того чтобы полагаться только на опыт отдельных аналитиков, команды следуют предопределенным рабочим процессам, которые устанавливают способ реагирования на инциденты. Это помогает организациям обеспечить более надежное управление, более четкую ответственность и более предсказуемые результаты.

Стандартные функции SOAR

Помимо возможностей оркестрации безопасности, автоматизации безопасности и реагирования на инциденты, большинство решений SOAR включает базовый набор дополнительных функций.

Сборники схем
Сборники схем — это предопределенные рабочие процессы, которые описывают, как следует обрабатывать конкретные типы инцидентов. Они преобразуют институциональные знания в структурированные повторяемые процессы, поэтому подход остается согласованным, независимо от смены или команды. Сборник схем может определять, как исследовать оповещение о фишинге, реагировать на предполагаемую компрометацию учетных данных или локализовать заражение вредоносной программой.

Управление инцидентами и обращениями
Многие решения SOAR включают встроенные возможности управления инцидентами или обращениями, которые позволяют командам отслеживать ход исследования от первоначального оповещения до устранения угрозы. Эти функции помогают упростить управление инцидентами и обеспечивают централизованное расположение для координации действий и поддержания видимости на протяжении всего процесса.

Отчеты и аналитика
SOAR создает отчеты и панели мониторинга, которые позволяют проанализировать эффективность работы. Аналитика кибербезопасности часто включает среднее время обнаружения (MTTD), среднее время реагирования (MTTR), объем оповещений, использование сборников схем и показатели устранения инцидентов.

Почему стоит внедрить SOAR

По мере внедрения возможностей оркестрации, автоматизации ИБ и реагирования на них организации часто отмечают заметный рост эффективности и согласованности. В то же время внедрение требует тщательного планирования и согласования.

Преимущества SOAR

Более быстрое реагирование на инциденты и локализация угроз
За счет автоматизации действий по обогащению, рассмотрению и реагированию решения SOAR сокращают время между обнаружением и устранением. Это помогает ускорить реагирование и ограничить влияние инцидентов.

Повышение эффективности работы
Организации используют возможности автоматизации для выполнения многих повторяющихся задач, позволяя аналитикам сосредоточиться на более важных исследованиях.

Улучшенное соответствие требованиям и готовность к аудиту
Структурированные рабочие процессы и автоматизированное документирование помогают соблюдать нормативные требования и поддерживать внутренние процессы управления, создавая четкие записи о том, как организация обрабатывает инциденты.

Улучшенная совместная работа
Централизованное управление обращениями и интегрированные рабочие процессы обеспечивают единое представление операций для служб безопасности, ИТ-служб и других заинтересованных лиц.

Улучшение процесса принятия решений
Метрики производительности и данные о трендах позволяют руководителям выявлять узкие места, дорабатывать сборники схем и эффективнее распределять ресурсы.

Проблемы внедрения SOAR

Предварительная работа по проектированию и планированию
Эффективная система SOAR требует четко определенных процессов и хорошо продуманных сборников схем. Автоматизация нечетких или несогласованных рабочих процессов может, напротив, создать лишние сложности.

Риск чрезмерной автоматизации
Без надлежащих ограничителей автоматизация может несвоевременно запускать такие действия, как отключение учетных записей или изоляция систем, поэтому контроль со стороны человека крайне важен.

Ответственность за операции и управление
Рабочие процессы SOAR требуют поддержки, управления версиями и постоянного улучшения. Без четкого распределения ответственности сборники схем могут устаревать или становиться слишком сложными.

Навыки и управление изменениями

Командам нужны как знания в области безопасности, так и навыки разработки рабочих процессов. Аналитикам может потребоваться время, чтобы адаптироваться к операциям с поддержкой автоматизации.

Как организации используют SOAR

SOAR приносит наибольшую пользу при применении к повторяемым процессам защиты с большим объемом данных. Преобразуя рабочие процессы в сборники схем, команды реагируют более последовательно и сохраняют контроль со стороны аналитиков там, где он важнее всего.

Автоматизированное реагирование на фишинг
Фишинг — это отличная возможность использовать SOAR, так как команды безопасности перегружены большими объемами подозрительных сообщений, требующих исследования. Чтобы ускорить реагирование и ограничить боковое распространение, организации создают сборники схем SOAR, которые позволяют:
 
  • получать оповещения из средств защиты электронной почты или отчетов пользователей;
  • извлекать необходимые индикаторы, например URL-адреса, вложения или домены отправителей;
  • обогащать эти индикаторы данными аналитики угроз;
  • проверять наличие похожих сообщений в среде;
  • автоматически помещать вредоносные письма на карантин;
  • создавать обращение и документировать все действия.
Обогащение данными аналитики угроз
При рассмотрении оповещений аналитикам нужно понимать, кто стоит за угрозой, что она означает для организации, к какому типу относится и как действует. Вместо того чтобы собирать контекст вручную, вы можете использовать рабочий процесс SOAR, который автоматически обогащает оповещения с помощью следующих действий:
 
  • ⁠выполнение запросов к внутренним и внешним каналам аналитики угроз;
  • проверка индикаторов на основе известной вредоносной инфраструктуры;
  • сбор контекста из конечных точек или удостоверений;
  • корреляция связанных оповещений.
Рассмотрение инцидентов и эскалация
Центры информационной безопасности обычно перегружены оповещениями, большинство из которых имеют низкий уровень риска. Стараясь эффективнее приоритизировать задачи и работать быстрее, аналитики используют рабочие процессы SOAR, чтобы:
 
  • ⁠автоматически назначать уровни серьезности на основе предопределенных критериев;
  • ⁠направлять инциденты в нужную команду или нужному специалисту;
  • ⁠запускать рабочие процессы эскалации при достижении пороговых значений;
  • отслеживать состояние и время устранения угрозы.
Реагирование на компрометацию учетных записей
Чтобы ускорить реагирование при возможной компрометации учетных данных, многие организации автоматизируют шаги по локализации угроз с помощью решений SOAR. Эти рабочие процессы могут:
 
  • проверять оповещение на соответствие сигналам удостоверений;
  • отключать или сбрасывать скомпрометированные учетные записи;
  • отзывать активные сеансы;
  • уведомлять затронутых пользователей;
  • документировать действия для проверки на соответствие требованиям.
Координация управления уязвимостями
Командам безопасности часто нужно координировать действия по исправлению между командами по вопросам инфраструктуры и ИТ-службами. Решение SOAR упрощает координацию. Организации могут создавать рабочие процессы, которые:

  • получают результаты сканирования на наличие уязвимостей, чтобы все команды работали с одними и теми же данными;
  • ⁠определяют приоритет обнаруженных проблем на основе оценки риска, чтобы все сосредоточились на самых срочных вопросах;
  • создают запросы в системах управления ИТ-услугами, чтобы команды понимали, кто за что отвечает;
  • отслеживают ход исправления, сообщая всем командам о состоянии каждого оповещения или инцидента;
  • создают отчеты для руководства, в которых суммируют результаты поиска уязвимостей, ход исправления и общее состояние безопасности.
Рекомендации

Стратегии эффективного использования SOAR

Организации, добивающиеся долгосрочного успеха, согласуют технологию SOAR с четко определенными процессами, реалистичными целями и ответственностью за выполняемые операции. Ниже приведен ряд рекомендаций.

Начните с четких целей

Руководителям службы безопасности следует начать с определения ключевых областей, где решение SOAR может дать наибольший эффект, например инциденты с большим объемом данных, которые могут отнять много времени у аналитиков, узкие места в исследованиях и метрики, которые нуждаются в улучшении, например MTTR.

Приоритизируйте важные повторяемые рабочие процессы

Не все процессы нужно автоматизировать сразу. Лучше всего начать с важных и понятных рутинных рабочих процессов, которые используют согласованные схемы принятия решений. Это процессы исследования случаев фишинга, обогащения оповещений, блокировки учетных записей, сброса паролей и создания запросов.

Разрабатывайте схемы с контролем со стороны человека

Хотя автоматизация является ключевым преимуществом системы SOAR, она должна не заменять, а поддерживать человеческое суждение. Хорошо продуманные сборники схем включают точки принятия решения, где требуется проверка человеком, особенно для действий, которые могут нарушить работу бизнеса, например отключение учетных записей или изоляция систем.

Инвестируйте в планирование интеграции

SOAR приносит наибольшую пользу, когда хорошо совмещается с существующими системами безопасности, такими как средства обнаружения, управление удостоверениями, защита конечных точек, облачные среды и системы обработки запросов. Поэтапный подход помогает снизить риск и дает командам время стабилизировать и тонко настроить систему.

Установите систему управления и ответственность

Необходимо четко распределить ответственность в отношении решения SOAR, чтобы предотвратить расползание рабочих процессов и несогласованность настроек. Организациям следует определить, у кого будет право создавать или изменять сборники схем, а также внедрить процессы управления версиями и управления изменениями.

Непрерывно обучайте команды

Задействование аналитиков и технический опыт имеют важное значение для успеха внедрения SOAR. Организациям следует обеспечить непрерывное обучение, чтобы ознакомлять команды з принципами разработки последних сборников схем, логикой автоматизации, путями эскалации и стандартами документирования инцидентов.

Взгляд в будущее

По мере развития операций по обеспечению безопасности SOAR выходит за рамки статической автоматизации на основе правил и переходит к более адаптивным рабочим процессам на основе аналитики. Современные возможности SOAR помогают командам масштабировать реагирование, сокращать объем ручной работы и координировать действия во все более сложных средах. Система SOAR нового поколения формируется под влиянием нескольких ключевых тенденций:
 
  • Создание сборников схем с поддержкой естественного языка. Генеративный ИИ делает автоматизацию SOAR более доступной, позволяя аналитикам создавать, обновлять и дорабатывать сборники схем с помощью естественного языка. Это снижает порог доступности автоматизации, ускоряет разработку сборников схем и позволяет большему числу команд безопасности (не только специалистам по автоматизации) внедрять рабочие процессы SOAR.
  • ⁠Непрерывное обучение и адаптивная автоматизация. Решения SOAR нового поколения включают циклы обратной связи и механизмы обучения, которые проверяют результаты и со временем корректируют ответы. Вместо использования разовых автоматизаций SOAR все чаще учится на инцидентах в прошлом, повышая точность и эффективность.
  • Выход за рамки реагирования после оповещения. SOAR больше не ограничивается реагированием после оповещения. Организации применяют автоматизацию SOAR на более ранних и более поздних этапах жизненного цикла безопасности, поддерживая действия до оповещения, такие как корреляция сигналов и обогащение, а также задачи после инцидента, например создание отчетов, отслеживание хода исправления и обновление средств управления. Более широкий охват повышает качество обнаружения и помогает снизить накладные расходы.
  • SOAR как уровень управления для автономных систем. По мере того как агентный ИИ и удостоверения, отличные от пользователей, становятся все более распространенными, SOAR приобретает роль централизованного уровня оркестрации для безопасного управления автономными действиями. Сюда входят координация инструментов, применение ограничителей и обеспечение видимости в сложных взаимосвязанных средах.
  • Более глубокая интеграция в системы безопасности. Хотя метка SOAR становится менее заметной, поставщики решений безопасности все чаще встраивают возможности системы в SIEM, XDR и более широкие решения для операций по обеспечению безопасности. Это обеспечивает оптимизированную оркестрацию, общий контекст и согласованную реакцию в гибридных и многооблачных средах.

Решение SOAR в рамках Microsoft Security

При оценке решений SOAR важно учитывать, как они будут поддерживать цели безопасности организации сейчас и по мере развития SOC. Многие выбирают такие решения, как Microsoft Sentinel — ориентированное на облако решение SIEM, которое включает возможности SOAR. Объединяя SIEM и SOAR в одном решении, Microsoft Sentinel помогает командам безопасности собирать и анализировать данные о пользователях, устройствах, приложениях и инфраструктуре, а также автоматизировать предопределенные рабочие процессы. Кроме того, Microsoft Sentinel можно использовать с Microsoft Defender XDR как единое решение для операций по обеспечению безопасности, а также подключать к различным средствам безопасности для обеспечения комплексного охвата. Благодаря Microsoft Sentinel руководители службы безопасности получают инструменты для создания структурированного, измеримого и устойчивого центра информационной безопасности.

Вопросы и ответы

  • Система оркестрации, автоматизации ИБ и реагирования на них (SOAR) используется для координации и автоматизации задач в операциях по обеспечению безопасности, таких как рассмотрение оповещений, обогащение данными аналитики угроз, реагирование на инциденты и управление обращениями. Она помогает командам безопасности стандартизировать рабочие процессы, сокращать объем ручной работы и повышать согласованность реагирования в центре информационной безопасности.
  • SOAR расшифровывается как система оркестрации, автоматизации ИБ и реагирования на них. Это категория решений безопасности, которые интегрируют инструменты, автоматизируют повторяющиеся задачи и регулируют структурированное реагирование на инциденты с помощью предопределенных рабочих процессов.
  • Оркестрация безопасности подключает и координирует несколько средств безопасности, чтобы они могли работать как единый рабочий процесс. Автоматизация безопасности направлена прежде всего на сокращение объема ручной работы за счет автоматического выполнения предопределенных задач в рамках таких рабочих процессов.
  • Решения для управления информационной безопасностью и событиями безопасности (SIEM) собирают и анализируют данные безопасности, чтобы выявлять потенциальные угрозы. Решения для оркестрации, автоматизации ИБ и реагирования на них (SOAR) помогают командам реагировать, автоматизируя обогащение данных, координацию инструментов и стандартизацию процессов.
  • Система оркестрации, автоматизации ИБ и реагирования на них (SOAR) помогает сократить среднее время реагирования (MTTR), повысить эффективность работы и поддерживать соблюдение требований за счет структурированного документирования и создания отчетов. Она также укрепляет взаимодействие и способствует более согласованным и измеримым операциям по обеспечению безопасности.

Следите за новостями Microsoft Security

Русский (Россия) Конфиденциальность медицинских сведений потребителей Связаться с Майкрософт Конфиденциальность Управление файлами cookie Условия использования Товарные знаки Сведения о рекламе