שלוש יכולות ליבה של SOAR שעוזרות לצוותי SOC לעבוד יחד ביעילות רבה יותר כדי להגן על הארגונים שלהם: תיאום אבטחה, אוטומציה של אבטחה ותגובה לתקריות.
תיאום אבטחה תיאום אבטחה הוא שכבת התיאום. הוא מתחבר לטכנולוגיות קיימות, כגון SIEM, זיהוי ותגובה בנקודות קצה (EDR), זיהוי ותגובה מורחבים (
XDR), הגנה על זהויות, אבטחת דואר אלקטרוני, חומות אש ופתרונות בינת איומים, כדי לרכז את
זיהוי האיומים, החקירה והתגובה.
לדוגמה, אם פתרון SIEM מזהה אפשרות לפגיעה בחשבון, פתרון SOAR יכול:
- לאסוף באופן אוטומטי נתונים הקשריים ממערכת ניהול הזהויות.
- להצליב את ניסיון ההתחברות עם מקורות בינת איומים כדי להעריך סיכון.
- לבדוק את הפעילות של המשתמש בכלי אבטחה של נקודות קצה כדי לזהות סימנים של פגיעה או תנועה רוחבית.
- אחזור היסטוריית כניסה אחרונה מתוך יומני גישה.
- לתאם תגובה בין המערכות הרלוונטיות כדי לבלום את האיום.
ארגונים שאין להם פתרון SOAR יצטרכו לבצע כל אחד מהשלבים האלה באופן ידני. בעזרת תיאום, צוותים יכולים ליצור זרימות עבודה שמעבירות מידע בין מערכות בדרכים מובנות.
אוטומציה של אבטחה אוטומציה של אבטחה מפחיתה את עומס העבודה הידניים הכרוכים במשימות חוזרות ודחופות. בתוך פתרון SOAR, צוותים יכולים ליצור זרימות עבודה שמשרטטות פעולות שלב-אחר-שלב עבור סוגים מסוימים של אירועים, כגון:
- העשרת התראות באמצעות בינת איומים.
- איסוף נתונים הקשריים מנקודות קצה או ממערכות זהות.
- חסימת כתובות IP זדוניות.
- השבתת חשבונות שנפרצו.
- יידוע בעלי עניין ופעולות תיעוד.
באמצעות אוטומציה של השלבים האלה, צוותי אבטחה מגיבים מהר יותר ובעקביות רבה יותר, במיוחד במהלך אירועים בנפח גבוה.
תגובה לתקריות מכיוון שאבטחת SOAR מרכזת ומנתחת נתונים ממספר פתרונות, היא מספקת לוח מחוונים מרכזי לניהול תגובה לתקריות. כך קל יותר לקשר בין התראות ממערכות שונות ולחקור איום חוצה תחומים.
ארגונים משתמשים בפתרונות SOAR גם כדי לתקנן את האופן שבו הם בולמים, מתקנים ומתעדים אירועים. במקום להסתמך רק על הניסיון האישי של כל אנליסט, צוותים פועלים לפי זרימות עבודה מוגדרות מראש שמנחות אותם איך להגיב לאירועים. כך ארגונים יכולים לאכוף ניהול תקין חזק יותר, אחריות ברורה יותר ותוצאות צפויות יותר.
עקוב אחר 'האבטחה של Microsoft'