بررسی 10 قابلیت اساسی قابل انجام توسط راه حل SOAR – قسمت دوم (پایانی)

• در قسمت اول مقاله به صورت مختصر و به شکل جدول در مورد قابلیت های SOAR صحبت کردیم و در مورد تنظیم و ارکستراسیون و اتوماسیون که دو مورد از 10 قابلیت اساسی قابل انجام توسط راه حل SOAR بود توضیح دادیم. حال به ادامه مقاله خواهیم پرداخت.

مدیریت رویداد و هشدار

درست پس از دریافت داده ها، مدیریت رویداد و هشدار باید در صف قرار بگیرد و رویدادها و هشدارهای ورودی را اولویت بندی کند. این بدان معناست که هشدارها را می توان به سرعت مصرف کرد و بدون جستجوی گسترده یا جابجایی بین زمینه ها، به طور مؤثری عمل کرد. رویدادها و هشدارها باید شامل یک نشانگر وضعیت به عنوان مثال، جدید، باز یا بسته، یک نشانگر شدت و یک نشانگر حساسیت رنگی باشد تا مصرف سریع اطلاعات را تسهیل کند. ویژگی های فنی یک رویداد امنیتی یا هشدار باید سازماندهی شود تا امکان درک سریع سناریوی امنیتی فراهم شود. این شامل یک نمای سازمان یافته از داده ها مانند IPها، دامنه ها، هش فایل ها، نام های کاربر و آدرس های ایمیل می باشد. یک تحلیلگر امنیتی باید بتواند به طور یکپارچه اقدامات تحقیقاتی، مهار یا پاسخ یا مجموعه ای از اقدامات، به عنوان مثال، کتاب های بازی را علیه این داده ها صادر کند.

در نهایت، راه حل SOAR باید یک گزارش فعالیت جامع ارائه دهد که رکوردی از تمام اقداماتی که در برابر یک رویداد یا هشدار اجرا شده اند، چه به صورت دستی یا از طریق یک کتاب بازی آغاز شده اند را نمایش دهد. هر اقدامی باید نتایج خود از جمله نشانگر موفقیت یا شکست اقدام را نشان دهد.

 اطلاعات تهدیدآمیز

اطلاعات تهدیدآمیز برای کمک به تحلیلگران برای درک اقدامات عامل تهدید و کاهش هرگونه آسیب بیشتر به سازمان، کلیدی می باشند .که از آنها چند نوع وجود دارد:

اطلاعات – استراتژیک، فنی و عملیاتی که از منابع خارجی و داخلی جمع‌آوری و ادغام می‌شوند. هنگامی که اطلاعات در یک مکان واحد جمع می‌شوند، داده‌ها در زمینه منبع و قابلیت اطمینان آن ارزیابی می‌شوند و برای تعیین اینکه کدام بخش از داده‌ها برای کمک به تصمیم‌گیری سریع و مؤثر مهم هستند، تجزیه و تحلیل می‌شوند.

امروزه بسیاری از تیم های امنیتی از اطلاعات تهدید استفاده می کنند تا زمینه و اطلاعات مربوطه را فراهم کنند که به تحلیلگران در درک تهدید کمک می کند. با این حال، آنها اغلب بین تعدادی از رابط های محصول جابه جا می شوند تا بفهمند چگونه قطعات مختلف اطلاعات به هم متصل می شوند. حتی با استفاده از فیدهای اطلاعاتی تهدید، می‌تواند تعداد قابل توجهی از شاخص‌ها را ارسال کند که ردیابی دستی آنها غیرممکن است. با استفاده از ارکستراسیون و اتوماسیون، تیم‌های امنیتی می‌توانند به سرعت اطلاعات جمع‌آوری شده را در یک پلتفرم مشاهده کنند و تصمیمات آگاهانه سریعی اتخاذ کنند که می‌تواند بدون هیچ گونه تعامل انسانی خودکار شود.

مدیریت پرونده و همکاری

هنگامی که هشدارها یا رویدادها تأیید و تشدید شدند، مؤلفه مدیریت پرونده باید مسئولیت را بر عهده بگیرد و چرخه حیاتی گسترده‌تر و متقابل را هدایت کند. ایجاد تا حل و فصل SOAR چندین رویداد را می گیرد و سپس آنها را تأیید، جمع می کند و در یک مورد واحد تشدید می کند. رابط مدیریت پرونده باید از پیوست کردن داده‌های فنی مرتبط مانند داده‌های منبع هشدار و نتایج اقدام به پرونده پشتیبانی کند.

رابط همچنین باید از پیوست کردن داده‌های غیرفنی مرتبط مانند یادداشت‌ها، یادداشت‌ها، ایمیل‌ها، اسکرین‌شات‌ها، ضبط‌ها یا هر فایل دلخواه دیگر مرتبط با پرونده پشتیبانی کند. هر گونه تغییر در پرونده باید در مسیر حسابرسی ثبت شود و قابل صادرات باشد.

مدیریت پرونده همچنین باید به راحتی به فرآیندهای موجود سازمان نقشه برداری کند. بسیاری از سازمان ها رویه های عملیاتی استاندارد SOP را برای واکنش به حادثه ایجاد کرده اند. عملکرد مدیریت پرونده باید این توانایی را برای کاربر فراهم کند

مراحل را با توجه به فرآیند آنها تعریف کنید و آنها را به عنوان یک الگو ذخیره کنید. یک کاربر باید این توانایی را داشته باشد که SOP را به چند مرحله تقسیم کند که در هر مرحله وجود دارد.

یک یا چند کار، و هر وظیفه را می توان به یک مالک اختصاص داد. رابط باید نشانگر پیشرفت پرونده و همچنین وضعیت پرونده باشد. بهترین راه حل SOAR باید شامل ویژگی های همکاری داخلی باشد. ویژگی های همکاری مانند:

چت یکپارچه و امکان پیوست کردن و اشتراک‌گذاری یادداشت‌های موردی باید در کنار گردش کار تحقیق یا پاسخ در دسترس باشد تا همکاری بی‌متنی را فراهم کند. با چت و یادداشت‌های سریع در کنار اطلاعات رویداد، هشدار و مورد، تحلیلگران می‌توانند به یک سطح دست یابند.

بیشتر بخوانید: راهكار Splunk SOAR و بررسی موارد کاربرد این راهکار در امنیت سایبری – قسمت اول

آگاهی موقعیتی که امکان حل کارآمد و سریع حوادث امنیتی را فراهم می کند. این همچنین یک مسیر حسابرسی آسان ایجاد می کند. ایده آل است که رکورد این همکاری در کنار داده ها و اقدامات مربوط به رویداد ثبت شده و سازماندهی شود. اگر ارتباط شما بر روی یک ابزار خارجی و جدا از اطلاعات گردش کار در راه حل SOAR شما باشد، چندان آسان نیست.

متریک و گزارش

یک تیم امنیتی باید بتواند به راحتی وضعیت عملیات امنیتی خود را اندازه گیری کند و در طول زمان به سمت بهبود مستمر حرکت کند. بنابراین، معیارهای قوی و گزارش یک امر ضروری است. آنها به تیم امنیتی کمک می کنند تا تأثیر اتوماسیون را درک کنند و در کجا می توان بهبودهایی برای افزایش بازگشت سرمایه انجام داد.

اتوماسیون برای افزایش کارایی در چندین عملکرد یک SOC یا مرکز عملیات امنیتی استفاده می شود. درک افزایش عملکرد کمی و صرفه جویی در منابعی که اتوماسیون فراهم می کند و داشتن این اطلاعات به راحتی از طریق داشبورد بسیار مهم است. نمونه‌هایی از معیارهای کلیدی عملکرد که باید در SOAR در دسترس باشد، شامل میانگین زمان برای رسیدن به آن می باشد.

حل  MTTR، میانگین زمان ماندگاری یا MDT، ساعت‌های تحلیلگر صرفه‌جویی شده از طریق اجرای خودکار، تعداد معادل‌های تمام وقت یا FTEs به‌دست‌آمده از طریق اجرای خودکار، میانگین زمان ذخیره‌شده در هر اجرا کتاب، پول ذخیره شده (FTE-هزینه x FTEs-به‌دست‌آمده) ، تعداد کل هشدارهای باز، هشدارهای باز و بسته شده در روز (ساعت، هفته، ماه) و عملکرد در برابر قراردادهای سطح خدمات یا SLA. همه این اطلاعات باید به راحتی سازماندهی و در گزارش هایی برای مدیریت ارشد و CISO جمع‌آوری شود تا به سرعت وضعیت کلی عملیات امنیتی خود و همچنین پیشرفت هایی را که SOAR انجام می دهد درک کنند.

بیشتر بخوانید: پنج مزیت خودکارسازی امنیتی با استفاده از تکنولوژی SOAR

تحرک

راه حل های SOAR برای تسریع زمان پاسخ طراحی شده اند. برای دستیابی به واکنش سریع، تحلیلگران امنیتی باید زمانی در دسترس باشند که یک مورد یا درخواست امنیتی نیاز به مداخله انسانی داشته باشد. اما تحلیلگران همیشه پشت میز خود با لپ‌تاپ باز نمی‌نشینند و آماده پاسخگویی به درخواست‌ها در لحظه هستند.

به همین دلیل است که ارائه قابلیت‌های دسترسی، تعامل و کنترل از طریق راحتی دستگاه تلفن همراه تحلیلگر مهم است. به این ترتیب، تحلیلگران می‌توانند کتاب‌های بازی را در حال حرکت اجرا کنند، مصنوعات امنیتی و رویدادهای تریاژ را بدون لپ‌تاپ بررسی کنند، به درخواست‌های کف دست خود پاسخ دهند و بدون توجه به جایی که هستند همیشه در دسترس باشند.

مقیاس پذیری

راه حل SOAR باید با شما و سازمان شما رشد کند. از آنجایی که به ناچار موارد استفاده بیشتری را در طول زمان اضافه می کنید، بارهای پردازشی اضافی روی پلتفرم قرار می گیرد. موتور اتوماسیون باید به گونه ای طراحی شود که مقیاس عمودی به عنوان مثال افزایش منابع CPU و RAM و مقیاس افقی به عنوان مثال، افزایش نمونه های سرور را برای بهینه سازی عملکرد و محافظت از بازگشت سرمایه اتوماسیون فراهم کند.

گسترده و قابل توسعه

یک راه حل SOAR باید برای باز بودن و توسعه پذیری طراحی شود و به راحتی سناریوهای امنیتی جدید، محصولات جدید، اقدامات جدید و کتاب های بازی جدید را در خود جای دهد. بدون این، SOAR می تواند ارزش خود را در طول زمان از دست بدهد.

با یک اکوسیستم باز که از یک استاندارد و مدل برنامه‌نویسی مشترک پیروی می‌کند، تیم‌های امنیتی می‌توانند از چند مزیت بهره ببرند. فناوری های جدید را می توان به سرعت در راه حل ادغام کرد.. کاربران می توانند ادغام های اضافی را بدون اجازه یا چرخه های توسعه از فروشنده SOAR ایجاد کنند. به عنوان مثال، آنها می توانند ادغام های خود را بنویسند، برنامه های کاربردی خانگی توسعه دهند یا یک API دسترسی اولیه از یک فروشنده بنویسند.

قدرت جامعه

طبیعت در حال تکامل امنیت همچنین نیاز به متخصصان را برای همکاری با یکدیگر برای به اشتراک گذاشتن کتاب‌های راهنما، بهترین شیوه‌ها و استراتژی‌ها برای مقابله با آخرین تهدیدها افزایش می‌دهد. راه‌حل SOAR باید از یک مدل قوی جامعه پشتیبانی کند و اشتراک‌گذاری ادغام برنامه‌ها را آسان کند. اندازه گیری پایه نصب شده یک راه حل SOAR نشانگر خوبی از پتانسیل مشارکتی جامعه مرتبط با آن می باشد. اکثر کاربران ترجیح می دهند از تجربیات سایر کاربران همفکر استفاده کنند. یک جامعه کاربری بزرگ و فعال این فرصت را برای اشتراک‌گذاری کتاب‌ها و برنامه‌ها یا ایده‌های طوفان فکری برای موارد استفاده از اتوماسیون جدید فراهم می‌کند. علاوه بر این، مشارکت فروشنده در جامعه یک شاخص قوی از تعهد آنها به جامعه و همکاری است.

مقاله های مرتبط: