Heim  >  Artikel  >  Betrieb und Instandhaltung  >  So erstellen Sie SOAR

So erstellen Sie SOAR

WBOY
WBOYnach vorne
2023-05-24 20:06:17934Durchsuche

Unternehmen, die den Kauf von SOAR-Lösungen (Security Orchestration, Automation and Response) in Betracht ziehen, sind oft besorgt, dass ihre bestehenden Incident-Response-Projekte noch nicht ausgereift genug sind, um eine umfassende Plattform mit Automatisierungs- und Orchestrierungsfunktionen zu implementieren. Bei Null anzufangen kann entmutigend wirken, wenn man fast keine Grundlage hat, insbesondere wenn niemand im Team Erfahrung mit Incident-Response- oder Sicherheitsorchestrierungslösungen hat.

Obwohl niemand einfach die Automatisierung eines ineffizienten Prozesses hinzufügen möchte, ist es offensichtlich unwissenschaftlich, diese alte Methode zur Behandlung von Sicherheitsvorfällen weiter zu konsolidieren, wenn die alte Methode selbst nicht mehr gut genug ist.

Wenn Sie die Sicherheitsabläufe Ihres Unternehmens verbessern möchten, aber nicht wissen, wo Sie anfangen sollen, können Ihnen die folgenden Schritte bei der Vorbereitung der Migration auf die SOAR-Plattform helfen.

1. Machen Sie eine Bestandsaufnahme des aktuellen Betriebs

Unternehmen, die glauben, kein Programm zur Reaktion auf Vorfälle zu haben, haben ihre eigenen Gründe. Mit oder ohne SOAR oder einer Incident-Response-Plattform hat jedes Unternehmen eine Möglichkeit, Sicherheitsvorfälle zu bewältigen, auch wenn dies möglicherweise viele Improvisationen und Ad-hoc-Prozesse erfordert.

Während Sie sich auf die Implementierung einer SOAR-Plattform vorbereiten, nehmen Sie sich etwas Zeit, um mit den Stakeholdern des Unternehmens zu sprechen, um Ihre aktuellen Prozesse und die Wirksamkeit (oder Ineffektivität) dieser Prozesse zu verstehen. Dazu sollte eine Checkliste mit Grooming-Tools gehören:

  • Was ist die bestehende Infrastruktur für IT- und Informationssicherheit?

  • Gibt es Tools für Datenanreicherungsvorgänge?

Sobald Sie herausgefunden haben, welche Tools verfügbar sind, können Sie sie einem Incident-Response-Lebenszyklus zuordnen, wie er beispielsweise im NIST 800-61r2-Standard beschrieben ist, und ermitteln, was Ihrem Unternehmen derzeit fehlt.

Als nächstes überprüfen Sie den Vorfallreaktionsprozess oder das Handbuch, das das Unternehmen befolgt. Sehen Sie, wie das Security Operations Center (SOC) intern zusammenarbeitet? Wie funktioniert die Zusammenarbeit mit anderen Teams wie IT- und Datenschutzorganisationen? Wie stellt das Unternehmen bei der Reaktion auf Vorfälle die Einhaltung gesetzlicher und behördlicher Vorschriften sicher? Wie bewältigen Unternehmensteams die heutigen häufigen Sicherheitsvorfälle wie Phishing oder Malware?

Wenn Kennzahlen verfügbar sind, überprüfen Sie diese sorgfältig, um herauszufinden, was gut funktioniert und wo Sie sich verbessern müssen. Zum Beispiel:

  • Wie lange dauert es, Sicherheitswarnungen zu erkennen und darauf zu reagieren?

  • Welche Aktivitäten nehmen zu viel Zeit eines Sicherheitsanalysten in Anspruch?

Wenn keine formalen Kennzahlen verfügbar sind, bitten Sie Sicherheitsanalysten und -manager, ihre eigenen Einschätzungen abzugeben.

2. Finden Sie heraus, welche Funktionen für Ihr Unternehmen am besten geeignet sind und welche Plattform diese Funktionen bereitstellt.

Es gibt viele SOAR-Plattformen auf dem Markt, aus denen Sie wählen können. Um die Auswahl einzugrenzen, können Sie sich jedoch etwas Zeit für die Bestätigung nehmen welche für Sie am besten geeignet ist. Welche Prozesse möchten Sie zuerst automatisieren? Welches Problem ist das größte Problem Ihres Sicherheitsteams? Kommt es immer wieder zu Sicherheitsvorfällen, Datensilos oder Prozessengpässen? Ihr Analyst kann Ihnen bei der Beantwortung dieser Fragen helfen.

Jede Plattform hat ihren eigenen Schwerpunkt auf Sicherheitsoperationen. Diese Funktionen lassen sich grob in die folgenden Kategorien einteilen:

  • Alert-Management: Hilft dem SOC beim Sortieren, Bewerten und Schließen des kontinuierlichen Flusses von Sicherheitswarnungen von SIEM und anderen Quellsystemen.

  • Klassifizierung: Helfen Sie Analysten, Entscheidungen zu treffen, indem Sie kontextbezogene Informationen aus externen und internen Quellen wie Bedrohungsinformationen und historischen Ereignisaufzeichnungen sammeln.

  • Reaktion auf Vorfälle: Enthält Playbook, Aufgabenverwaltung, Linkanalyse und andere Funktionen zur Unterstützung eines effektiven und wiederholbaren Reaktionsworkflows.

  • Dieser Satz kann wie folgt umgeschrieben werden: „Berichts- und Analysefunktionen unterstützen die automatisierte oder geplante Berichtserstellung, generieren detaillierte SOC-Metriken und stellen anpassbare Dashboards für verschiedene Systembenutzerrollen bereit.“

  • Compliance und Nachverfolgung: z. B. Audit-Trails, Chain-of-Custody und gängige Compliance-Reporting-Vorlagen.

  • Das Fallmanagement umfasst Funktionen, die es Ermittlern ermöglichen, mit anderen Teams zusammenzuarbeiten, Kataloge zum Speichern relevanter Vorfallfälle, geführte Untersuchungsabläufe und Beweismanagement.

3. Versuchen Sie, ein Playbook zu entwerfen.

Sie können versuchen, ein Strategie-Playbook für Ihre kritischsten Anwendungsfälle zu entwerfen, um ein praktisches Verständnis für die Verwendung der SOAR-Plattform zu erlangen. Identifizieren Sie dann Schritte, die Ihrer Meinung nach durch Automatisierung und Orchestrierung verbessert werden könnten.

Anbieter oder Branchenverbände haben Beispiele für Online-Playbooks bereitgestellt, die als Referenz für Ihre Schritte dienen sollen. Durch die Bewertung der bestehenden Prozesse des Unternehmens und deren Diskussion mit Unternehmensanalysten können wertvollere Informationen gewonnen werden, darunter häufige oder wichtige Anwendungsfälle. Sie können die typischsten Anwendungsfälle wie Phishing, vermutete Datenlecks oder Malware-Infektionen als Ausgangspunkt für Ihre Sicherheitsumgebung verwenden.

Die Implementierung einer SOAR-Lösung, einer Incident-Response-Plattform oder eines anderen wichtigen Sicherheitstools wird schwierig sein, wenn Sie kein formelles Incident-Response-Programm haben. Solange Sie die oben genannten Schritte befolgen, können Sie Ihre eigene Situation besser verstehen, wissen, welchen Weg Sie einschlagen und welche Ergebnisse Sie erzielen sollten.

Das obige ist der detaillierte Inhalt vonSo erstellen Sie SOAR. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:yisu.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen