Tre kjernefunksjoner i SOAR hjelper SOC-team med å jobbe mer effektivt sammen for å beskytte organisasjonene sine: sikkerhetsorganisering, sikkerhetsautomatisering og svar på hendelser.
Sikkerhetsorganisering Sikkerhetsorganisering er koordineringslaget. Den kobler sammen eksisterende teknologier, som SIEM, endepunktoppdagelse og -respons (EDR), utvidet oppdagelse og respons (
XDR), identitetsbeskyttelse, e-postsikkerhet, brannmurer og trusselinformasjonløsninger for å sentralisere
trusseloppdagelse, etterforskning og respons.
Hvis en SIEM-løsning for eksempel identifiserer en mulig konto-overtakelse, kan en SOAR-løsning:
- automatisk samle inn kontekstdata fra identitetsadministrasjonssystemet.
- krysse av påloggingsforsøket mot trusseletterretningskilder for å vurdere risiko.
- kontrollere brukerens aktivitet på tvers av sikkerhetsverktøy for endepunkter for tegn til kompromittering eller lateral bevegelse.
- Hent nylig påloggingshistorikk fra tilgangslogger.
- koordinere respons på tvers av relevante systemer for å inneslutte trusselen.
Organisasjoner som ikke har en SOAR-løsning, må utføre hvert av disse trinnene manuelt. Med organisering kan team lage arbeidsflyter som flytter informasjon mellom systemer på strukturerte måter.
Sikkerhetsautomatisering Sikkerhetsautomatisering reduserer det manuelle arbeidsomfanget knyttet til repetitive og tidskritiske oppgaver. I en SOAR-løsning kan team lage arbeidsflyter som beskriver trinnvise handlinger for bestemte typer hendelser, som for eksempel:
- Berik varsler med trusselinformasjon.
- innsamling av kontekstdata fra endepunkter eller identitetssystemer.
- Blokker ondsinnede IP-adresser.
- Deaktivering av kompromitterte kontoer.
- Varsle relevante parter og dokumenter handlingene.
Ved å automatisere disse trinnene kan sikkerhetsteam reagere raskere og mer konsekvent, spesielt ved hendelser med høyt volum.
Svar på hendelser Fordi SOAR-sikkerhet samler inn og analyserer data fra flere løsninger, gir det et sentralisert instrumentbord for håndtering av svar på hendelser. Dette gjør det enklere å korrelere varsler på tvers av ulike systemer og undersøke en trussel som går på tvers av domener.
Organisasjoner bruker også SOAR-løsninger til å standardisere hvordan hendelser inneslutes, utbedres og dokumenteres. I stedet for å bare stole på enkeltanalytikeres erfaring følger team forhåndsdefinerte arbeidsflyter som styrer hvordan hendelser håndteres. Dette hjelper organisasjoner med å håndheve sterkere styring, tydeligere ansvar og mer forutsigbare resultater.
Følg Microsoft Sikkerhet