如何为我的业务选择SOAR解决方案?

安全编排,自动化和响应(SOAR)产品提供了吸引人的解决方案,有希望的效率检测和响应威胁。但是,组织需要了解这些解决方案如何在不正确实施的情况下也会引入新的挑战。没有适当的规划,组织采用 安全自动化工具 可以使受害者成为常见的错误,以迅速导致效率更低和较弱的安全姿势。

为您的业务选择合适的SOAR解决方案,您需要考虑各种因素。我们与几个行业专业人士谈到了他们对这个话题的见解。

rishi bhargava.,VP,产品策略, 帕洛阿尔托网络

选择SOAR解决方案实现安全编排通常不是一个简单的旅程从“我没有它”到“好的,现在我有它”。组织需要评估其安全工具堆栈和现有流程,然后相应地选择其部署方法。

生态系统至关重要: 寻找具有广泛,深度集成的解决方案,涵盖您目前使用的供应商工具。应该有一个选项来构建内部或自定义集成。您还希望在您成长时与您成熟的飙升解决方案。您希望在具有检测,丰富,执法和联合工具的集成中良好的组合。

强大的票务和案例管理能力: 很少有事件响应启动并以自动化结束。总的来说,分析师将参与事故调查。询问:平台是否具有本机案例管理或与相关工具集成?你能重建事件的时间表吗?您是否可以轻松定制剧本,而无需广泛编码?

综合威胁英特尔管理: 手动威胁英特尔工作流量是时间汇,不缩放,因此集成威胁英特尔管理自动化功能将大大减少您的平均响应时间。

灵活部署: SAR平台应支持本地和云托管部署。对于分布式环境,请查找一个尺度并支持全租户的一个。

无论您在何在何处,这些考虑都将确保您在组织中最好的路径。

CamzeBingöl,Secops,产品经理, 微焦点

选择SOAR解决方案飙升的平台的目的是通过自动化和编排能力,并在检测和响应不断发展的网络威胁时赋予安全人员。

网络安全的自动化: SOAR的自动化功能应该通过消除误报和自动重复活动来自动处理大多数威胁。自动化耗时,具有飙升的重复任务使分析师更多的时间关注需要人为干预的案例。

开箱书中: 方案驱动,随时使用自动播放簿应该是一个翱翔的盒子功能,即翱翔到表格。准备使用PlayBooks可以帮助团队从小时到几分钟缩小响应时间,并提高分析师的生产力。

与现有工具集成: 绝望的工具独立工作并不像彼此相互补充的综合工具套件一样有用。焦点SOAR应该与现有的安全解决方案,IT基础架构和技术集成,在组织中,通过增加协作并使所有元素汇总所有元素,就像整个安全环境的集中集线器一样,就像它们都是相同解决方案的一部分一样。

KPI和指标: 飙升的详细报告案例和分析师级别可以帮助管理者了解历史事件和更好的计划未来方向。

理查德卡西迪,高级总监安全战略EMEA, exabeam

选择SOAR解决方案翱翔解决方案应该使团队能够在显着的不同数据流中实现识别和响应过程,以便威胁和漏洞的优先级变得几乎是无缝的,并且更重要的是运作效率。

如果正确实施,安全运营中心(SoC)可以使用SOAR解决方案帮助他们更快地处理威胁,更有效地处理威胁。

与其他安全工具集成SOAR,例如安全信息和事件管理(暹粒),可以通过自动化转换SoC团队的业务和技术结果,同时也提高了效率。

组合力量,组织可以使用SOAR来增加SIEM的功能,提供全面的解决方案。 Siems以飙升的方式收集和存储数据,可以使用它来自动调查和响应事件并减少对手动操作的需求。

更重要的是,在迄今为止解决SoC团队的最大挑战之一时,SOAR解决方案可以帮助摄取信息,排序,优先级,并组合重复警报,以减少误报的数量。

Cody Cornell.,首席战略官员, 泳列

选择SOAR解决方案在考虑哪种SOAR解决方案适合您的组织时,请从两个角度考虑它:您现在需要什么,以解决导致您确定您在操作中需要自动化的问题,以及如何利用自动化进入未来的问题。考虑到这些观点,牢记了主要的考虑因素。

首先,您是否期望您使用的工具或针对您的对手是静态的,或动态和随时间变化?在几乎所有情况下,它将是后者。因此,您应该寻找一个快速提供新的集成的解决方案,并且一个快速扩展的平台 - 足以满足今天的需求,但是未来的需求也是如此。

其次,当你看看攻击者技术如何变化时,你希望攻击者继续在他们身边继续拥抱自动化吗?对手是使用自动化不仅运行扫描,还可以从Devops视角来构建每个目标的独特基础架构。

如果继续,您需要一个自动化平台,可以在没有人为干预的情况下追溯到妥协(IOC)和其他智力的指标。如果没有,你会错过一个 Secops. 最糟糕的情况,一个真正的负警报,或者是真实的警报,但没有被标记为恶意。

Matthias Maier,安全福音师, 分裂

选择SOAR解决方案评估SOAR平台时有几个不同的标准可以考虑:

核心能力

这些可以被认为是飙升平台的基本部分,并且通常在性质上具有功能,并且在平台中容易识别。其中的一些元素包括指导和监督与给定安全方案有关的所有活动的协调因素。 orchestrator提供了可用资源的最佳利用至关重要。另一个是自动化引擎。由于自动化任务独立运行,而且在没有人为交互的情况下,诸如平台可扩展性和可扩展性等的属性是考虑的重要标准。还应考虑案例和账单管理。

平台属性

这些更加微妙,就像建筑特征一样,是更具定性的。这些标准通过观察和与平台的观察和互动更常见。合作显着改善了平台的物质。 SAR平台必须支持强大的社区模型,并轻松地分享应用集成和播放簿。了解SOAR平台将如何垂直和水平地缩放,也很重要。由于组织随着时间的推移添加了用例,因此平台上会有额外的处理负载。一个开放,移动友好且易于使用的平台也是关键。

业务考虑因素

这些包括公司提供的价值添加服务,以增加其核心技术,如培训和支持。无论公司的核心技术如何,在传统上被认为是对买方决策过程大量影响的产品之外,存在考虑因素。

塞米斯·艾哈迈德舒拉,首席执行官, sirp.

选择SOAR解决方案一项研究发现,安全专业人员报告每天收到平均840个安全警报。大多数警报需要15-30分钟来手动调查,这是任何安全团队的不可能的任务。

尽可能多地自动化工作负载将使安全团队能够跟上速度,并确保批判性威胁不会在噪音中忽视。 SOAR平台已成为提供这些能力的最有效的解决方案之一。

整合SOAR的最重要步骤是为所有安全流程提供实体文档。所有主要流程都需要建立良好的响应账单。例如,如果检测到潜在的网络钓鱼电子邮件,则响应可能包括调查发件人的地址和检测欺骗的迹象,探测其声誉分数和恶意脚本的任何URL。一旦记录了所有这些过程,SAR平台就可以开始自动携带。

此外,组织需要确保他们选择的SOAR平台具有强大的集成功能。该平台需要与现有的SIEM解决方案顺利进行平稳,以及与其其余安全解决方案以及更广泛的IT基础架构连接。

amos stern,首席执行官, 施法

选择SOAR解决方案安全编排,自动化和响应,或飙升,解决了一些最持久而令人沮丧的 - 安全团队面临的挑战。

正确的SOAR平台与良好的实现相结合,可以帮助减少警报过载,将组织使用的多种不同的检测工具串联,并构建自动化和可重复的流程以削减响应时间 - 全部,同时不受繁琐且经常使用繁琐的分析师 - 拦截和解决方案的人,所以他们可以专注于更高价值的工作,如狩猎威胁和建立更有弹性的安全基础架构。

在他们的核心,SOAR解决方案应该摄取警报,集成(通过本机API),具有广泛的第三方检测工具,以及自动化工作流程。

但最好的翱翔超越这些表赌注,通过作为中集中的工作台来说,安全运营专业人员执行工作。想像Salesforce一样,但对于SoC分析师而言。高级功能您应该寻找包含:

1.案例管理(特别是对上下文相关警报的能力)
2.综合威胁情报
3.协作(在新的远程正常中尤为重要)
4.仪表板和KPI(提供可见性和见解)
5.危机管理(在发生重大事件时升级交叉组织响应)。

分享这个