Trys pagrindinės STAA galimybės padeda SOC komandoms veikti kartu efektyviau ir apsaugoti savo organizacijas: saugos valdymas, saugos automatizavimas ir reagavimas į incidentus.
Saugos valdymas Saugos valdymas yra koordinavimo sluoksnis. Jis sujungia esamas technologijas, tokias kaip SIEM, atakų prieš galinius punktus aptikimas ir reagavimas (EDR), išplėstinis aptikimas ir reagavimas (
XDR), tapatybės apsauga, el. pašto sauga, užkardos ir grėsmių informacijos sprendimai, kad būtų centralizuotas
grėsmių aptikimas, tyrimas ir reagavimas.
Pavyzdžiui, jei SIEM sprendimas nustato galimą paskyros kompromitavimą, SOAR sprendimas galėtų:
- Automatiškai surinkti kontekstinius duomenis iš tapatybių valdymo sistemos.
- Sulyginti prisijungimo bandymą su grėsmių informacijos šaltiniais, kad būtų įvertinta rizika.
- Patikrinti vartotojo veiklą galinio punkto saugos įrankiuose, ieškant bet kokių kompromitavimo ar judėjimo tinkle požymių.
- Gauti naujausią prisijungimo istoriją iš prieigos žurnalų.
- Koordinuoti reagavimą per susijusias sistemas, kad grėsmė būtų sulaikyta.
Organizacijos, kurios neturi STAA sprendimo, kiekvieną iš šių veiksmų turėtų atlikti rankiniu būdu. Naudodamos valdymą, komandos gali kurti darbo eigas, kurios struktūruotai perkelia informaciją tarp sistemų.
Saugos automatizavimas Saugos automatizavimas sumažina rankinio darbo krūvį, susijusį su pasikartojančiomis ir laiko atžvilgiu jautriomis užduotimis. STAA sprendime komandos gali kurti darbo eigas, kuriose pateikiami nuoseklūs veiksmai konkrečių tipų incidentams, pavyzdžiui:
- Įspėjimų papildymas grėsmių analize.
- Kontekstinių duomenų rinkimas iš galinių punktų arba tapatybių sistemų.
- Kenksmingų IP adresų blokavimas.
- Pažeistų paskyrų išjungimas.
- Pranešimas suinteresuotoms šalims ir veiksmų dokumentavimas.
Automatizavus šiuos veiksmus, saugos komandos reaguoja greičiau ir nuosekliau, ypač kai įvykių daug.
Reagavimas į incidentus Kadangi STAA sauga surenka ir analizuoja duomenis iš kelių sprendimų, ji suteikia centralizuotą skydelį incidentų reagavimui valdyti. Tai leidžia lengviau susieti įspėjimus iš skirtingų sistemų ir tirti tarpdomeninę grėsmę.
Organizacijos taip pat naudoja STAA sprendimus, kad standartizuotų incidentų sulaikymą, šalinimą ir dokumentavimą. Vietoj to, kad pasikliautų tik atskiro analitiko patirtimi, komandos laikosi iš anksto nustatytų darbo eigų, kurios padeda reaguoti į incidentus. Tai padeda organizacijoms užtikrinti griežtesnį valdymą, aiškesnę atsakomybę ir labiau prognozuojamus rezultatus.
Stebėkite „Microsoft“ saugą