So schließen Sie Enterprise Security Orchestration Response SOAR ganz einfach ab

Der 2019 Security Orchestration and Automated Response Solutions (SOAR) Market Guide der renommierten Beratungsagentur Gartner besagt, dass „bis 2022 mehr als 30 % der Sicherheitsunternehmen mit Sicherheitsteams von mehr als 5 Personen den SOAR Security Orchestration Automated Response Plan nutzen werden.“ .“ Heute stellen wir vor, wie Unternehmen das NSFOCUS SOAR-System nutzen können, um die Sicherheitsorchestrierung und automatisierte Reaktion innerhalb von drei Minuten abzuschließen.

Sehen Sie sich die Schwachstellen und Anforderungen von Unternehmen im Sicherheitsbetrieb anhand des Prozesses zur Behandlung von Sicherheitsvorfällen an.

Beim traditionellen Sicherheitsbetrieb, der Wartung und der Behandlung von Vorfällen in Unternehmen wird im Allgemeinen der folgende Prozess befolgt:

Tabelle: Herkömmlicher Sicherheitsbetriebs- und -wartungsprozess

Nach den oben genannten 7 Schritten ist der Verarbeitungsprozess eines Informationssicherheitsvorfalls abgeschlossen. An diesem Prozess sind mehrere Abteilungen mit unterschiedlichen Rollen beteiligt, der Entsorgungsprozess ist umständlich, die Effizienz schwer zu quantifizieren und die Bearbeitungsprozesse für verschiedene Ereignisse schwer zu standardisieren.

Gleichzeitig stehen Unternehmen bei Sicherheitsbetrieb und -wartung häufig vor den folgenden Schwachstellen: Zu viele Ereignisalarme und gültige Ereignisalarme gehen unter, was die rechtzeitige Bewältigung von Sicherheitsvorfällen erschwert. In Unternehmen mangelt es oft an Fachkräften für Sicherheitsanalysen und -verarbeitung. Es ist schwierig, Erfahrungen mit Sicherheitsanalysen zu sammeln, und Sicherheitsexperten können leicht in sich wiederholenden Sicherheitsverarbeitungsarbeiten stecken bleiben, was es schwierig macht, ihren wahren Wert auszuschöpfen. Das Wichtigste ist, dass Unternehmen durch Prozesse und Personal eingeschränkt sind und herkömmliche Sicherheitsreaktionen zu lange dauern.

Daher haben Unternehmen bei der Entwicklung und Weiterentwicklung von Sicherheitsabläufen die folgenden Anforderungen hinzugefügt:

Verbesserung des Signal-Rausch-Verhältnisses: Erhöhung effektiver High-Fidelity-Alarme, damit sich die begrenzten Ressourcen von Sicherheitsexperten auf echte Risiken und Probleme konzentrieren können.

MTTR reduzieren: Den sicheren Entsorgungsprozess festigen, kontinuierlich Betriebserfahrung sammeln und den Betrieb fortsetzen, sodass die Reaktions- und Entsorgungszeit kontinuierlich verkürzt wird.

NSFOCUS SOAR-Sicherheitsorchestrierungs- und automatisierte Reaktionslösung

Bild: NSFOCUS SOAR-Komponenteneingang

Die intelligente Sicherheitsbetriebsplattform von ISOP hat die automatisierte SOAR-Sicherheitsorchestrierungs-Reaktionsfunktion integriert und wird über das NSFOCUS ISOP Intelligent Security Operation Center Dimensions Response betrieben Mit dem verknüpften Orchestrierungsportal können Sie Sicherheitsorchestrierungs- und automatisierte Antwortverarbeitungsfunktionen nutzen, um die Reise einer unternehmensweit automatisierten Sicherheitsorchestrierungsreaktion zu beginnen. 🔜 Der Erfahrungs-Entsorgungsworkflow löst automatisch verschiedene Sicherheitsgeräte aus, um Reaktionsaktionen durchzuführen. Das Fallmanagement basiert auf einem umfassenderen und umfassenderen Verständnis des Sicherheitsereigniskontexts und hilft Unternehmen, komplexe Vorfallreaktionsprozesse und Aufgabenabläufe in konsistente, wiederholbare und messbare Prozesse umzuwandeln und effektive Arbeitsabläufe verwandeln passive Notfallmaßnahmen in automatisierte kontinuierliche Maßnahmen.

Fünf Kerne helfen Unternehmen dabei, eine Sicherheitsorchestrierungsreaktion zu erreichen

1. Fallmanagement über den gesamten Lebenszyklus hinweg

Abbildung: Fallmanagement
Case ist die grundlegendste Funktion in der SOAR-Komponente und durchläuft den gesamten Lebenszyklus der Behandlung von Sicherheitsvorfällen , einschließlich Informationen, Auswahl und Ausführung von Protokollquellen, Sicherheitsregeln, Sammlung nachrichtendienstlicher Beweise und Playbook-Skripts zur Vorfallbehandlung, die für die Analyse und Beurteilung von Sicherheitsvorfällen erforderlich sind. Solange die Alarmsicherheitsereignisse im Unternehmen den Fällen zugeordnet werden können, kann eine automatisierte Reaktionsverarbeitung durchgeführt werden. Fälle verfügen über ein umfassenderes und umfassenderes Verständnis des Sicherheitsereigniskontexts, was dazu beiträgt, komplexe Vorfallreaktionsprozesse umzuwandeln Aufgaben in konsistente und wiederholbare, messbare und effektive Arbeitsabläufe umwandeln.

Bei Unternehmenssicherheitsvorgängen können häufige Sicherheitsereignisse mit SOAR-Fällen verschiedener Kategorien und Fällen derselben Art (z. B. Mining, Einbruch, Dienstverweigerung, Erpressung, Phishing, Hotlinking, Informationslecks usw.) korreliert werden. Das ist möglich Wählen Sie eine ähnliche Verarbeitungsmethode. Die Fallprozessverarbeitungsfunktion kann Fällen unterschiedlicher Art unterschiedliche Playbook-Skripte zuweisen und die Ausführung überwachen, um die automatisierte Closed-Loop-Reaktion und Verarbeitung von Unternehmenssicherheitsvorfällen abzuschließen.

2. Visuelle sichere Drag-and-Drop-Anordnung

Bild: Visuelle Gehäuseanordnung 1

Abbildung: Visuelle Gehäuseanordnung 2

Die SOAR-Komponente in ISOP verfügt über integrierte Fälle, die einigen gängigen Angriffen entsprechen. Darüber hinaus können Unternehmen durch visuelle Drag-and-Drop-Anordnung schnell Fälle und entsprechende Playbook-Skripte erstellen Beurteilung und der Prozess der Analyse von Sicherheitsereignissen Durch die visuelle Drag-and-Drop-Methode wird Kontext für die Sicherheitsbehandlung bereitgestellt, das Springen und Wechseln zwischen verschiedenen Seiten im herkömmlichen Betrieb und der Wartung entfällt und die Komplexität der Behandlung von Sicherheitsvorfällen verringert. Sobald ein Fall erfolgreich erstellt und aktiviert wurde, können nachfolgende Ereignisse, die den Fall betreffen, automatisiert behandelt werden, wodurch die Kosten für die kollaborative Kommunikation und den Prozessablauf zwischen verschiedenen Abteilungen gesenkt werden.

Abbildung: Verfolgung des Fallentsorgungsprozesses

Case kann Unternehmen dabei helfen, optimierte und kontinuierliche Ermittlungs-, Analyse- und Reaktionsverfolgungsaufzeichnungen für eine Reihe verwandter Ereignisse durchzuführen und den Ausführungsstatus jedes Zwischenprozesses der Sicherheit zu ermitteln Vorfälle (Erfolg, Ausführung, Fehler) können alle im visuellen Orchestrierungsprozess angezeigt werden, wodurch eine durchgängige Visualisierung des Betriebs- und Wartungsprozesses realisiert wird.

3. Automatisierte Verarbeitung von Playbook-Skripten

Bild: Playbook-Laufstatus

Playbook-Skripte entsprechen dem Arbeitsablauf von Sicherheitsingenieuren, der die automatisierte Closed-Loop-Sicherheitsverarbeitung von Case-Matching-Ereignissen vorantreiben kann Modul kann beteiligt sein Mehrere Skripte werden gleichzeitig ausgeführt, und der Ausführungsstatus verschiedener Skripte kann global über die Schnittstelle überprüft werden (Ausführung, erfolgreiche Ausführung, Fehler).

Erfahrung im Umgang mit Sicherheitsvorfällen im Unternehmen kann in Playbook-Skripten gefestigt und auf die automatisierte Reaktionsbearbeitung angewendet werden. Zu den Bearbeitungsmaßnahmen können Geräteblockierung, Versenden von Arbeitsaufträgen, E-Mail-Benachrichtigung usw. gehören, sodass Sicherheitsexperten damit beginnen können mühsame und sich wiederholende Sicherheitsaufgaben, die während des Betriebs und der Wartung ausgelöst werden.

4. Integration von Plug-in-Reaktionsgeräten

Automatisierte Sicherheitsorchestrierungsreaktion „Last Mile“-Blockierungsreaktion wird im Allgemeinen durch das Ein-Klick-Blockierungsmodul von NSFOCUS ausgeführt, das in der Frühphase eine große Anzahl von Reaktionsverarbeitungsgeräten angesammelt hat B. Firewalls, ADS, UTS, IDS, WAF usw. Zu den Reaktionsaktionen gehören: Sitzungsblockierung, IP-Blockierung, Domänennamen-Blacklist, Verkehrstraktionsbereinigung usw. Diese Geräte erfordern keine sekundäre Entwicklung und können Plug-and-Play-fähig sein. Spielen Sie direkt über das SOAR-Modul. Sie müssen lediglich ein Plug-In entwickeln, das auf der vom Drittanbietergerät bereitgestellten Northbound-Verwaltungs- und Steuerungsschnittstelle basiert, um die automatisierte Linkage-Orchestrierungsreaktion des Drittanbietergeräts abzuschließen.

Mit dem SOAR-System verbundene Sicherheitsgeräte können die automatisierte Antwortverarbeitung über Playbook-Skriptaufrufe durchführen, ohne dass sich Sicherheitsbetriebs- und Wartungspersonal bei unabhängigen Sicherheitsgeräten anmelden muss, um Blockierungsstrategien zu konfigurieren.

5. Großbildanzeige für automatisierten Betrieb und Wartung

Abbildung: Großbildanzeige für automatisierten Betrieb und Wartung

Die großformatige automatisierte Bedienung und Wartung kann einen Überblick über die automatisierte Reaktionsverarbeitung des Unternehmens aus globaler Sicht bieten B. die Effizienz des automatischen Reaktionsbetriebs, statistische Informationen zu Fallereignissen, Trends bei der Behandlung von Fallereignissen, Informationen zur Skriptausführung usw., zeigen Betriebs- und Wartungsindikatoren auf messbare und quantifizierbare Weise an.

Der Wert, den das NSFOCUS SOAR-System für den Sicherheitsbetrieb von Unternehmen bringt

1. Reduzieren Sie die Bearbeitungszeit für Sicherheitsvorfälle MTTR

Bei bekannten Fallereignissen können Unternehmen durch den Fallabgleich-Auslösemechanismus die Sicherheitsorchestrierung und den automatisierten Closed-Loop innerhalb von drei Minuten abschließen Antwortprozess.

Tabelle: Vergleich der herkömmlichen Betriebs- und Wartungspünktlichkeit und der automatisierten Betriebs- und Wartungsreaktionszeit

2. Entlasten Sie das Sicherheitsbetriebs- und Wartungspersonal von sich wiederholenden Arbeiten.

Konsolidieren Sie die Erfahrung von Sicherheitsexperten in Playbooks, um eine bekannte Angriffsanalyse zu erreichen Der gesamte Recherche-, Beurteilungs- und Entsorgungsprozess ist automatisiert, sodass Sicherheitsexperten ihre Energie der Rot-Blau-Konfrontation, der Bedrohungssuche, der Bedrohungsmodellierung, der APT-Analyse, dem Schwachstellen-Mining und anderen Arbeitsszenarien widmen können, die fortgeschrittene Sicherheitskenntnisse erfordern, um eine bessere Lösung zu schaffen Umgebung für den Betrieb und die Wartung der Unternehmenssicherheit. Hoher Wert.

3. Standardisieren Sie den Sicherheitsentsorgungsprozess und reduzieren Sie die Kosten für die gemeinsame Kommunikation zwischen Abteilungen.

Das Wesentliche des SOAR-Systems ist die Auswahl von Forschungs- und Beurteilungsstrategien und Entsorgungsstrategien, die verschiedenen Bedrohungsszenarien entsprechen Playbook im offensiven und defensiven Wettbewerb des Unternehmens ist eine Voraussetzung für die Konsolidierung von Playbook-Skripten. SOAR Playbooks können als Ausgangspunkt für die Standardisierung komplexer und unregelmäßiger Verarbeitungsprozesse und die Konsolidierung der Standardisierung der Unternehmensinformationssicherheit dienen Betriebsabläufe.

Das obige ist der detaillierte Inhalt vonSo schließen Sie Enterprise Security Orchestration Response SOAR ganz einfach ab. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!