Что такое SOAR-системы
SOAR является сокращением термина Security Orchestration, Automation, and Response, или оркестрация, автоматизация и реагирование на события безопасности. Это новый тип решений, который призван автоматизировать деятельность SOC-ов.
Что такое Cortex XSOAR (ранее Demisto)
Cortex XSOAR — это решение категории SOAR, комплексная платформа, которая объединяет оркестрацию плейбуков (сценариев реагирования на инциденты), управление инцидентами безопасности и интерактивные расследование для аналитиков SOC на протяжении всего жизненного цикла инцидента.
С помощью Cortex XSOAR департаменты ИБ могут стандартизировать процессы, автоматизировать повторяющиеся задачи и управлять инцидентами в своем стеке продуктов безопасности, снижая время отклика на угрозу и повышая производительность аналитиков.
По сути, Cortex XSOAR — это «операционная система» для департаментов ИБ и SOC.
Причины создания Cortex XSOAR
В условиях постоянно меняющихся и сложных угроз сотрудники SOC сталкиваются с различными проблемами. Аналитики уровня 1 тонут в оповещениях и выполняют трудоемкие задачи, такие как отсеивание ложных срабатываний, принятие повторяющихся ответов и отслеживание предупреждений от разрозненных инструментов безопасности.
Аналитики уровня 3 сталкиваются с проблемой поиска контекстных игл в стогах сена. Им сложно скоординировать несколько продуктов безопасности, имеющихся в их распоряжении, наиболее эффективным способом. Среди этой рабочей нагрузки они не могут найти время, чтобы обучить младших аналитиков и привести их в курс дела.
Менеджеры SOC испытывают затруднения с количественной оценкой ROI, которую инструменты безопасности вносят в их SOC. Они также постоянно сталкиваются с давлением SLA из-за неполного отслеживания метрик и документации. Наконец, угроза разрыва в навыках аналитика всегда нависает над их головой; любой старший аналитик, покидающий организацию, может привести к фатальной потере опыта и сделать шаг назад для SOC.
Именно здесь на помощь приходит Cortex XSOAR — комплексная платформа обеспечения безопасности, автоматизации и реагирования (SOAR), которая сочетает в себе управление кейсами, интеллектуальную автоматизацию и оркестрацию, а также интерактивные расследования, помогая аналитикам на протяжении всего жизненного цикла инцидента.
Обзор возможностей Cortex XSOAR
Рассмотрим основные возможности Cortex XSOAR.
- Настраиваемое управление кейсами: прием алертов из множества источников, централизованная очередь инцидентов, адаптированные схемы инцидентов с контролем доступа, сбором и ведением журналов доказательств, поддержка мобильных приложений
- Интеллектуальная автоматизация и оркестрация: автоматические плейбуки обеспечивают участие конечных пользователей и аналитиков, высокую доступность и отказоустойчивость, взаимные корреляции
- Интерактивные расследования: Ситуационная комната (war room) на базе ChatOps, набор инструментов для расследования связанных инцидентов, совместная работа аналитиков в режиме реального времени и передача кейсов между сменами
Комплексное управление кейсами
Платформа Cortex XSOAR помогает вам управлять всеми аспектами жизненного цикла инцидента:
- Прием оповещений из нескольких источников с централизованной очередью инцидентов и реагированием на основе playbook для каждого типа атаки.
- Пользовательские типы инцидентов, упорядоченная классификация данных и сопоставление для централизованного мониторинга алертов.
- Индивидуальные процессы для разных инцидентов, подстройка интерфейса с полным контролем доступа для каждого типа инцидентов и роли персонала.
- Интуитивно понятный редактор play-and-drop для автоматизации и стандартизации процессов SOC.
- Автоматическое документирование всех инцидентов и расследований для всестороннего отслеживания SLA.
- Центральное хранилище индикаторов киберразведки, позволяющее осуществлять поиск и отслеживание угроз.
- Мобильное приложение, предоставляющее персонализированные дашборды, списки задач и возможные действия при расследовании инцидентов.
- Самоудаляющиеся агенты для ОС Windows / Mac / Linux для сбора данных с конечных точек.
Интеллектуальная автоматизация и оркестрация
Оркестрация Cortex XSOAR включает в себя идеальное взаимодействие между людьми, процессами и технологиями:
- Сотни открытых и расширяемых интеграций с инструментами обогащения данных, источниками алертов, SIEM, МСЭ, EDR, песочницами, инструментами сбора форензики, системами обмена сообщениями и другими системами.
- Динамические плейбуки, с привлечением аналитиков на этапах ручных действий и конечных пользователей в рамках почтовых оповещений и анализа сообщений электронной почты.
- Гибкость для создания новых задач / блоков playbook и переноса их в другие плейбуки.
- Живая визуализация playbook помогает в управлении задачами и устранения неполадок.
- Рекомендации для связанных инцидентов и общих индикаторов по инцидентам.
Интерактивные расследования
Интерактивные функции расследования Cortex XSOAR помогают аналитикам продуктивно сотрудничать и становиться опытнее с каждым инцидентом:
- Виртуальная «комната боев» с поддержкой ChatOps, где аналитики могут совместно работать в режиме реального времени и выполнять действия по обеспечению безопасности.
- Инструментарий для расследования связанных инцидентов, который предоставляет настраиваемую карту связанных инцидентов во времени.
- Внутренний бот безопасности (DBot), который помогает выполнять команды, предлагает аналитику и дальнейшие действия.
- Сбор доказательств и автоматическое документирование с разметкой текста и заметками.
Машинное обучение на основе DBot
В дополнение к решению текущих неотложных проблем SOC, Cortex XSOAR также использует возможности машинного обучения на основе DBot, что позволяет системе действовать в качестве множителя силы SOC.
Рекомендации на основе ИИ присутствуют в тикетах, сопоставлении задач с подходящими аналитиками, ответных действиях и связанных инцидентах. Машинное обучение охватывает все три компонента: управление кейсами, интеллектуальную автоматизацию и оркестрацию, а также интерактивные расследования.
По мере того, как и DBot, и аналитики становятся опытнее с каждым инцидентом, время, необходимое для расследования угроз и реагирования на них, уменьшается.
Интеграции Cortex XSOAR
Ниже приведены некоторые готовы интеграции Cortex XSOAR.
Как протестировать Cortex XSOAR
Вы можете заказать демо и тестирование Cortex XSOAR в Тайгер Оптикс.