Существуют три ключевые возможности SOAR, которые помогают командам SOC эффективнее работать вместе для защиты организации: оркестрация безопасности, автоматизация безопасности и реагирование на инциденты.
Оркестрация безопасности Оркестрация безопасности выполняется на уровне координации. Она объединяет существующие технологии, такие как SIEM, обнаружение и нейтрализация атак на конечные точки (EDR), Extended Detection and Response (
XDR), защита удостоверений, безопасность электронной почты, брандмауэры и решения для аналитики угроз, чтобы централизовать
обнаружение угроз, их исследование и реагирование на них.
Например, если решение SIEM выявляет возможную компрометацию учетной записи, решение SOAR может:
- автоматически собрать контекстные данные в системе управления удостоверениями;
- сопоставить попытку входа с источниками аналитики угроз, чтобы оценить риск;
- проверить действия пользователя в средствах защиты конечных точек на наличие признаков компрометации или бокового перемещения;
- получить историю последних входов из журналов доступа;
- скоординировать реагирование в соответствующих системах, чтобы локализовать угрозу.
Организациям без решения SOAR пришлось бы выполнять каждый из этих шагов вручную. Благодаря оркестрации команды могут создавать рабочие процессы, которые передают информацию между системами в структурированной форме.
Автоматизация безопасности Автоматизация безопасности снижает объем ручной работы, связанной с повторяющимися и неотложными задачами. В решении SOAR команды могут создавать рабочие процессы, в которых описаны пошаговые действия для конкретных типов инцидентов, например:
- обогащение оповещений данными аналитики угроз;
- сбор контекстных данных в конечных точках или системах удостоверений;
- блокировка вредоносных IP-адресов;
- блокировка скомпрометированных учетных записей;
- уведомление заинтересованных лиц и документирование действий.
Автоматизация этих шагов помогает командам безопасности реагировать быстрее и согласованнее, особенно в случае событий с большим объемом данных.
Реагирование на инциденты SOAR собирает и анализирует данные из нескольких решений, поэтому для управления реагированием на инциденты предусмотрена централизованная панель мониторинга. Это упрощает корреляцию оповещений в разных системах и исследование угроз, затрагивающих несколько доменов.
Организации также используют решения SOAR, чтобы стандартизировать локализацию, устранение и документирование инцидентов. Вместо того чтобы полагаться только на опыт отдельных аналитиков, команды следуют предопределенным рабочим процессам, которые устанавливают способ реагирования на инциденты. Это помогает организациям обеспечить более надежное управление, более четкую ответственность и более предсказуемые результаты.
Следите за новостями Microsoft Security