Tiga kemampuan SOAR inti membantu tim SOC bekerja sama secara lebih efektif untuk melindungi organisasi mereka: orkestrasi keamanan, otomatisasi keamanan, dan respons insiden.
Orkestrasi keamanan Orkestrasi keamanan adalah lapisan koordinasi. Layanan ini menghubungkan teknologi yang sudah ada, seperti SIEM, deteksi dan respons titik akhir (EDR), deteksi dan respons yang diperluas (
XDR), perlindungan identitas, keamanan email, firewall, dan solusi inteligensi ancaman untuk memusatkan
deteksi ancaman, penyelidikan, dan responsnya.
Misalnya, jika solusi SIEM mengidentifikasi kemungkinan penyusupan akun, solusi SOAR dapat:
- Mengumpulkan data kontekstual secara otomatis dari sistem manajemen identitas.
- Mereferensi silang upaya masuk dengan sumber kecerdasan ancaman untuk menilai risiko.
- Memeriksa aktivitas pengguna di seluruh alat keamanan titik akhir untuk mencari tanda-tanda penyusupan atau gerakan lateral.
- Mengambil riwayat masuk terakhir dari log akses.
- Mengoordinasi respons di seluruh sistem yang relevan untuk menanggulangi ancaman.
Organisasi yang tidak memiliki solusi SOAR harus melakukan setiap langkah ini secara manual. Dengan orkestrasi, tim dapat membuat alur kerja yang memindahkan informasi di seluruh sistem dengan cara terstruktur.
Otomatisasi keamanan Otomatisasi keamanan mengurangi beban kerja manual yang terkait dengan tugas berulang dan sensitif waktu. Dalam solusi SOAR, tim dapat membuat alur kerja yang menentukan tindakan langkah demi langkah untuk jenis insiden tertentu, seperti:
- Memperkaya peringatan dengan kecerdasan ancaman.
- Mengumpulkan data kontekstual dari titik akhir atau sistem identitas.
- Memblokir alamat IP berbahaya.
- Menonaktifkan akun yang disusupi.
- Memberi tahu pemangku kepentingan dan mendokumentasikan tindakan.
Dengan mengotomatiskan langkah-langkah ini, tim keamanan dapat merespons dengan lebih cepat dan konsisten, terutama selama kejadian dengan volume tinggi.
Respons insiden Karena keamanan SOAR mengagregat dan menganalisis data dari beberapa solusi, solusi ini menyediakan dasbor terpusat untuk mengelola respons insiden. Hal ini mempermudah untuk menghubungkan peringatan di seluruh sistem yang berbeda dan menyelidiki ancaman lintas domain.
Organisasi juga menggunakan solusi SOAR untuk menstandarkan bagaimana mereka menanggulangi, meremediasi, dan mendokumentasikan insiden. Tim tidak lagi mengandalkan pengalaman analis individu saja, melainkan mengikuti alur kerja yang telah ditentukan sebelumnya yang memandu mereka dalam merespons insiden. Hal ini dapat membantu organisasi dalam menerapkan tata kelola yang lebih kuat, akuntabilitas yang lebih jelas, dan hasil yang lebih mudah diprediksi.
Ikuti Microsoft Security