Üç temel SOAR özelliği, SOC ekiplerinin kuruluşlarını daha etkili biçimde korumak için birlikte çalışmasına yardımcı olur: güvenlik düzenlemesi, güvenlik otomasyonu ve olay yanıtı.
Güvenlik düzenlemesi Güvenlik düzenlemesi, koordinasyon katmanıdır. SIEM, uç noktada algılama ve yanıtlama (EDR), kapsamlı algılama ve yanıt (
XDR), kimlik koruması, e-posta güvenliği, güvenlik duvarları ve tehdit analizi çözümleri gibi mevcut teknolojileri bağlayarak
tehdit algılama, araştırma ve yanıtı merkezi hale getirir.
Örneğin, bir SIEM çözümü olası bir hesap güvenliğinin aşıldığını belirlerse, bir SOAR çözümü şunları yapabilir:
- Kimlik yönetimi sisteminden bağlamsal verileri otomatik olarak toplama.
- Risk değerlendirmesi yapmak için oturum açma girişimini tehdit istihbaratı kaynaklarıyla karşılaştırma.
- Kullanıcının etkinliğini uç nokta güvenlik araçları genelinde inceleyerek ele geçirilme ya da yatay hareket belirtisi olup olmadığını kontrol etme.
- Erişim günlüklerinden son oturum açma geçmişini alma.
- Tehdidi sınırlandırmak için ilgili sistemler arasında yanıtı koordine etme.
SOAR çözümü olmayan kuruluşların bu adımların her birini manuel olarak gerçekleştirmesi gerekir. Düzenleme ile ekipler, bilgileri sistemler arasında yapılandırılmış biçimde taşıyan iş akışları oluşturabilir.
Güvenlik otomasyonu Güvenlik otomasyonu, tekrarlayan ve zamana duyarlı görevlerle ilişkili manuel iş yükünü azaltır. Bir SOAR çözümü içinde ekipler, belirli olay türleri için adım adım eylemleri tanımlayan iş akışları oluşturabilir. Örneğin:
- Uyarıları tehdit bilgileriyle zenginleştirme.
- Uç noktalardan veya kimlik sistemlerinden bağlamsal veriler toplama.
- Kötü amaçlı IP adreslerini engelleme.
- Risk altındaki hesapları devre dışı bırakma.
- Paydaşlara bildirme ve işlemleri belgeleme.
Bu adımları otomatikleştirerek güvenlik ekipleri, özellikle yüksek hacimli olaylar sırasında daha hızlı ve daha tutarlı yanıt verir.
Olay yanıtı SOAR güvenliği, birden çok çözümden gelen verileri topladığı ve analiz ettiği için olay yanıtını yönetmek üzere merkezi bir gösterge paneli sağlar. Bu sayede farklı sistemler genelindeki uyarıları ilişkilendirmek ve etki alanları arası bir tehdidi incelemek daha kolay olur.
Kuruluşlar ayrıca SOAR çözümlerini, olayları nasıl sınırlandıracaklarını, düzelteceklerini ve belgeleyeceklerini standartlaştırmak için kullanır. Tek bir analiz uzmanının deneyimine güvenmek yerine ekipler, olaylara nasıl yanıt vereceklerini yönlendiren önceden tanımlanmış iş akışlarını izler. Bu, kuruluşların daha güçlü idare, daha net hesap verebilirlik ve daha öngörülebilir sonuçlar uygulamasına yardımcı olur.
Microsoft Güvenlik'i takip edin