Ba khả năng SOAR cốt lõi giúp các nhóm SOC phối hợp hiệu quả hơn để bảo vệ tổ chức: điều phối bảo mật, tự động hóa bảo mật và ứng phó sự cố.
Điều phối bảo mật Điều phối bảo mật là lớp điều phối. Giải pháp này kết nối các công nghệ hiện có, chẳng hạn như SIEM, phát hiện điểm cuối và phản hồi (EDR), phát hiện và phản hồi mở rộng (
XDR), bảo vệ danh tính, bảo mật email, tường lửa và các giải pháp thông tin về mối đe dọa để tập trung
phát hiện mối đe dọa, điều tra và ứng phó.
Ví dụ, nếu một giải pháp SIEM xác định có thể có tài khoản bị xâm nhập, một giải pháp SOAR có thể:
- Tự động thu thập dữ liệu ngữ cảnh từ hệ thống quản lý danh tính.
- Tham chiếu chéo lần đăng nhập với các nguồn thông tin về mối đe dọa để đánh giá rủi ro.
- Kiểm tra hoạt động của người dùng trên các công cụ bảo mật điểm cuối để tìm dấu vết tấn công hệ thống hoặc di chuyển ngang.
- Truy xuất lịch sử đăng nhập gần đây từ nhật ký truy nhập.
- Điều phối hoạt động ứng phó trên các hệ thống liên quan để ngăn chặn mối đe dọa.
Những tổ chức không có giải pháp SOAR sẽ phải thực hiện từng bước này theo cách thủ công. Với khả năng điều phối, các nhóm có thể tạo quy trình làm việc di chuyển thông tin giữa các hệ thống theo cách có cấu trúc.
Tự động hóa bảo mật Tự động hóa bảo mật làm giảm khối lượng công việc thủ công liên quan đến các tác vụ lặp lại và cần xử lý kịp thời. Trong một giải pháp SOAR, các nhóm có thể tạo quy trình làm việc phác thảo các hành động từng bước cho các loại sự cố cụ thể, chẳng hạn như:
- Bổ sung dữ liệu cho cảnh báo bằng thông tin về mối đe dọa.
- Thu thập dữ liệu ngữ cảnh từ điểm cuối hoặc hệ thống danh tính.
- Chặn các địa chỉ IP độc hại.
- Vô hiệu hóa các tài khoản bị xâm phạm.
- Thông báo cho các bên liên quan và ghi chép các hành động.
Bằng cách tự động hóa các bước này, các nhóm bảo mật sẽ ứng phó nhanh hơn và nhất quán hơn, đặc biệt trong các sự kiện có khối lượng lớn.
Ứng phó sự cố Vì tổng hợp và phân tích dữ liệu từ nhiều giải pháp nên bảo mật SOAR cung cấp một bảng điều khiển tập trung để quản lý hoạt động ứng phó sự cố. Điều này giúp dễ dàng liên hệ tương quan cảnh báo trên các hệ thống khác nhau và điều tra mối đe dọa liên miền.
Các tổ chức cũng dùng giải pháp SOAR để chuẩn hóa cách họ ngăn chặn, khắc phục và ghi chép sự cố. Thay vì chỉ dựa vào kinh nghiệm của từng phân tích viên, các nhóm làm theo quy trình làm việc được xác định trước để hướng dẫn cách ứng phó với sự cố. Nhờ đó, các tổ chức thực thi quản trị chặt chẽ hơn, trách nhiệm rõ ràng hơn và kết quả dễ dự đoán hơn.
Theo dõi Microsoft Security