Існують три основні можливості АВПБ, які допомагають командам SOC ефективніше працювати разом для захисту організації. Це оркестрація безпеки, автоматизація безпеки та реагування на інциденти.
Оркестрація безпеки Оркестрація безпеки відбувається на рівні координації. Вона об’єднує наявні технології, як-от SIEM, протидія загрозам у кінцевих точках (EDR), розширене виявлення й реагування (
XDR), захист ідентичності, безпека електронної пошти, брандмауери та рішення для аналізу кіберзагроз, централізуючи
виявлення загроз, розслідування й реагування.
Наприклад, якщо рішення SIEM виявляє можливе ураження облікового запису, рішення АВПБ може:
- автоматично зібрати контекстні дані із системи керування ідентичностями;
- перевірити спробу входу на основі джерел аналізу кіберзагроз, щоб оцінити ризик;
- перевірити дії користувача в засобах захисту кінцевих точок на наявність ознак порушення вимог безпеки або бокового переміщення;
- отримати історію останніх входів із журналів доступу;
- координувати реагування у відповідних системах, щоб локалізувати загрозу.
Організаціям, у яких немає рішення АВПБ, довелося б виконувати кожен із цих кроків вручну. Завдяки оркестрації команди можуть створювати робочі процеси, які передають інформацію між системами в структурований спосіб.
Автоматизація безпеки Автоматизація безпеки зменшує обсяг ручної роботи, пов’язаної з повторюваними й терміновими завданнями. У рішенні АВПБ команди можуть створювати робочі процеси, які описують покрокові дії для певних типів інцидентів, як-от:
- збагачення оповіщень даними аналізу кіберзагроз;
- збирання контекстних даних із кінцевих точок або систем ідентичностей;
- блокування шкідливих IP-адрес;
- деактивація уражених облікових записів;
- сповіщення зацікавлених сторін і документування дій.
Автоматизуючи ці кроки, команди безпеки реагують швидше й узгодженіше, особливо в разі подій із великим обсягом даних.
Реагування на інциденти Оскільки АВПБ агрегує й аналізує дані з кількох рішень, для керування реагуванням на інциденти надається централізована приладна дошка. Це полегшує кореляцію оповіщень із різних систем і розслідування загрози, що переміщається між доменами.
Організації також використовують рішення АВПБ, щоб стандартизувати способи локалізації, усунення та документування інцидентів. Замість того щоб покладатися лише на досвід окремих аналітиків, команди дотримуються попередньо встановлених робочих процесів, які визначають спосіб реагування на інциденти. Це дає організаціям змогу впроваджувати суворіше керування, чіткішу відповідальність і більш передбачувані результати.
Підпишіться на новини про Захисний комплекс Microsoft