Comment construire SOAR

Les entreprises qui envisagent d'acheter des solutions d'orchestration, d'automatisation et de réponse de sécurité (SOAR) s'inquiètent souvent du fait que leurs projets de réponse aux incidents existants ne sont pas encore suffisamment matures pour mettre en œuvre une plate-forme complète avec des fonctions d'automatisation et d'orchestration. Repartir de zéro peut sembler écrasant lorsque vous n’avez presque aucune base, surtout si aucun membre de l’équipe n’a d’expérience en matière de réponse aux incidents ou de solutions d’orchestration de la sécurité.

Bien que personne ne veuille simplement ajouter de l'automatisation à un processus inefficace, mais si l'ancienne méthode elle-même n'est plus suffisante, il n'est évidemment pas scientifique de consolider davantage cette ancienne façon de gérer les incidents de sécurité.

Si vous souhaitez améliorer les opérations de sécurité de votre entreprise mais ne savez pas par où commencer, les étapes suivantes peuvent vous aider à préparer la migration vers la plateforme SOAR.

1. Faites le point sur les opérations en cours

Les entreprises qui estiment ne pas disposer d'un programme de réponse aux incidents ont leurs propres raisons. Avec ou sans SOAR ou plateforme de réponse aux incidents, chaque entreprise dispose d'un moyen de gérer les incidents de sécurité, même si cela peut impliquer beaucoup d'improvisation et de processus ad hoc.

Lorsque vous vous préparez à mettre en œuvre une plateforme SOAR, prenez le temps de parler aux parties prenantes de l'entreprise pour comprendre vos processus actuels et l'efficacité (ou l'inefficacité) de ces processus. Cela devrait inclure une liste de contrôle d'outils de toilettage :

• Quelle est l'infrastructure existante pour la sécurité informatique et de l'information ?

• Existe-t-il des outils pour les opérations d'enrichissement des données ?

Une fois que vous avez déterminé quels outils sont disponibles, vous pouvez les cartographier dans un cycle de vie de réponse aux incidents, tel que celui décrit dans la norme NIST 800-61r2, et identifier ce qui manque actuellement à votre entreprise.

Ensuite, passez en revue le processus ou le manuel de réponse aux incidents suivi par l'entreprise. Vous voyez comment le centre des opérations de sécurité (SOC) collabore en interne ? Comment cela fonctionne-t-il avec d'autres équipes telles que les organisations informatiques et de confidentialité des données ? Comment l’entreprise maintient-elle la conformité légale et réglementaire lors de la réponse aux incidents ? Comment les équipes de l'entreprise gèrent-elles les incidents de sécurité courants tels que le phishing ou les logiciels malveillants ?

Si des mesures sont disponibles, examinez-les attentivement pour identifier ce qui fonctionne bien et les domaines que vous devez améliorer. Par exemple :

• Combien de temps faut-il pour détecter et répondre aux alertes de sécurité ?

• Quelles activités prennent trop de temps à un analyste en sécurité ?

Si aucune mesure formelle n'est disponible, demandez aux analystes et aux responsables de la sécurité de donner leurs propres évaluations.

2. Découvrez les fonctions les plus adaptées à votre entreprise et la plateforme qui fournit ces fonctions

Il existe de nombreuses plateformes SOAR parmi lesquelles choisir sur le marché, mais pour affiner les choix, vous pouvez prendre le temps de confirmer laquelle vous convient le mieux. Quels processus souhaitez-vous automatiser en premier ? Quel est le problème le plus difficile pour votre équipe de sécurité ? Y a-t-il des incidents de sécurité récurrents, des silos de données ou des goulots d'étranglement dans les processus ? Votre analyste peut vous aider à répondre à ces questions.

Chaque plateforme se concentre sur les opérations de sécurité. Ces capacités peuvent être largement divisées dans les catégories suivantes :

• Gestion des alertes : aide le SOC à trier, évaluer et clôturer le flux continu d'alertes de sécurité provenant du SIEM et d'autres systèmes sources.

• Classification : aidez les analystes à prendre des décisions en collectant des informations contextuelles provenant de sources externes et internes telles que des renseignements sur les menaces et des enregistrements d'événements historiques.

• Réponse aux incidents : comprend un playbook, la gestion des tâches, l'analyse des liens et d'autres fonctions pour prendre en charge un flux de travail de réponse efficace et reproductible.

• Cette phrase peut être réécrite comme suit : "Les capacités de reporting et d'analyse prennent en charge la génération de rapports automatisée ou planifiée, génèrent des métriques SOC détaillées et fournissent des tableaux de bord personnalisables pour différents rôles d'utilisateur du système.".

• Conformité et suivi : tels que les pistes d'audit, la chaîne de traçabilité et les modèles communs de rapports de conformité.

• La gestion des cas comprend des fonctionnalités qui permettent aux enquêteurs de collaborer avec d'autres équipes, des catalogues pour stocker les cas d'incidents pertinents, des flux de travail d'enquête guidés et une gestion des preuves.

3. Essayez de rédiger un playbook

Vous pouvez essayer de rédiger un playbook stratégique pour vos cas d'utilisation les plus critiques afin d'acquérir une compréhension pratique de la façon d'utiliser la plateforme SOAR. Ensuite, identifiez les étapes qui, selon vous, pourraient être améliorées grâce à l’automatisation et à l’orchestration.

Les fournisseurs ou les organismes industriels ont fourni des exemples de playbooks en ligne qui devraient fournir une référence pour vos démarches. En évaluant les processus existants de l'entreprise et en en discutant avec les analystes de l'entreprise, des informations plus précieuses peuvent être obtenues, notamment des cas d'utilisation courants ou importants. Vous pouvez utiliser les cas d'utilisation les plus courants, tels que le phishing, les violations de données suspectées ou les infections par des logiciels malveillants, comme point de départ pour votre environnement de sécurité.

La mise en œuvre d'une solution SOAR, d'une plateforme de réponse aux incidents ou de tout autre outil de sécurité important sera difficile si vous ne disposez d'aucun programme formel de réponse aux incidents. Tant que vous suivez les étapes ci-dessus, vous serez en mesure de mieux comprendre votre propre situation, de savoir quelle voie vous devez emprunter et quels résultats vous devez obtenir.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!