domingo, 13 de fevereiro de 2022

Tecnologias no SOC: SOAR

Tecnologias no SOC: SOAR

SIEM e orquestração de segurança, automação e resposta (SOAR) são frequentemente emparelhados, pois possuem recursos que se complementam.

Grandes equipes de operações de segurança (SecOps) usam ambas as tecnologias para otimizar seu SOC. Estima-se que 15% das organizações com uma equipe de segurança de mais de cinco pessoas utilizarão o SOAR até o final de 2020.

As plataformas SOAR são semelhantes às SIEMs na medida em que agregam, correlacionam e analisam alertas. No entanto, a tecnologia SOAR vai um passo além integrando inteligência contra ameaças e automatizando os fluxos de trabalho de investigação e resposta de incidentes com base em manuais desenvolvidos pela equipe de segurança.

Plataformas de segurança SOAR:

Reunir dados de alarme de cada componente do sistema.

Fornecer ferramentas que permitam que os casos sejam pesquisados, avaliados e investigados.

Enfatizar a integração como um meio de automatizar fluxos de trabalho complexos de resposta a incidentes que permitem respostas mais rápidas e estratégias de defesa adaptativas.

Incluir playbooks predefinidos que permitem a resposta automática a ameaças específicas. Os playbooks podem ser iniciados automaticamente com base em regras predefinidas ou podem ser acionados pelo pessoal de segurança.

SOAR enfatiza ferramentas de integração e automação de fluxos de trabalho SOC. Ele orquestra muitos processos manuais, como a investigação de alertas de segurança, que exigem apenas intervenção humana quando necessário. Isso libera o pessoal de segurança para lidar com questões mais urgentes e investigação de ponta e remediação de ameaças. A futura adoção de plataformas SOAR sofisticadas retornará as operações SOC e as funções de trabalho.

Os sistemas SIEM produzem necessariamente mais alertas do que a maioria das equipes de SECops pode investigar de forma realista, a fim de capturar de forma conservadora o maior número possível de explorações potenciais. A SOAR processará muitos desses alertas automaticamente e permitirá que o pessoal de segurança se concentre em explorações mais complexas e potencialmente prejudiciais.

Nenhum comentário:

Postar um comentário