Оркестровка безопасности
Оркестрация, автоматизация и реагирование безопасности ( SOAR ) — это группа технологий кибербезопасности , которые позволяют организациям автоматически реагировать на некоторые инциденты. Он собирает входные данные, отслеживаемые группой обеспечения безопасности, такие как оповещения от системы SIEM , TIP и других технологий безопасности, и помогает определять, расставлять приоритеты и управлять стандартизированными по реагированию на инциденты . действиями [1] [2] [3]
Организации используют платформы SOAR для повышения эффективности операций физической и цифровой безопасности. [4] SOAR позволяет администраторам обрабатывать оповещения безопасности без необходимости ручного вмешательства. Когда сетевой инструмент обнаруживает событие безопасности, в зависимости от его характера SOAR может отправить предупреждение администратору или предпринять какие-либо другие действия. [2]
Компоненты
[ редактировать ]«Оркестровка» соединяет различные средства безопасности и системы Информационной системы . Он объединяет специально созданные приложения со встроенными средствами безопасности, поэтому все они работают друг с другом. Он также объединяет различные конечные точки, межсетевые экраны и инструменты анализа поведения . [5]
«Автоматизация» берет огромное количество информации, полученной в результате оркестровки, и анализирует ее с помощью процессов машинного обучения . SOAR выполняет множество ручных задач по анализу журналов, а также может обрабатывать запросы билетов, проверки уязвимостей и процессы аудита. [5]
«Реагирование на инциденты» позволяет службам безопасности реагировать при обнаружении потенциальной угрозы. Этот компонент также автоматически обрабатывает действия после инцидента, такие как обмен информацией об угрозах. [5]
Учебники и ранбуки
[ редактировать ]SOAR позволяет администраторам безопасности определять потенциальные инциденты и меры реагирования благодаря сценариям и сценариям выполнения. [2]
Сценарий — это документ, описывающий, как проверить инцидент кибербезопасности и как на него следует реагировать. Цель сборника сценариев — документировать, что должен делать модуль Runbook. Playbook можно использовать в качестве резервного копирования вручную на случай сбоя SOAR. [2]
Runbook реализует данные playbook в автоматизированном инструменте, который выполняет заранее определенные действия для устранения угрозы. [2]
Ссылки
[ редактировать ]- ^ «Определение координации, автоматизации и реагирования безопасности (SOAR) — глоссарий Gartner по информационным технологиям» . Гартнер . Проверено 28 апреля 2023 г.
- ^ Jump up to: а б с д и Майк Чаппл, Джеймс Майкл Стюарт, Дэррил Гибсон (2021). (ISC)2 Официальное учебное пособие для сертифицированных CISSP специалистов по безопасности информационных систем (изд. Sybex). стр. 845–846. ISBN 978-1-119-78623-8 .
{{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка ) - ^ «Платформы, решения и варианты использования системы безопасности, автоматизации и реагирования (SOAR)» . Д3 Безопасность . Проверено 21 июня 2023 г.
- ^ «Что такое SOAR (организация безопасности, автоматизация и реагирование)? | Определение от TechTarget» . Безопасность . Проверено 28 апреля 2023 г.
- ^ Jump up to: а б с «Важная роль SOAR в кибербезопасности» . Разведка безопасности . Проверено 28 апреля 2023 г.