На первый взгляд, ключ к повышению эффективности SOC кажется простым: уменьшить время восстановления и время обнаружения инцидентов. Однако каким образом можно этого достичь?
В этом материале автор статьи, Орхан Халилов, Sales Engineer, BAKOTECH, поможет отделам информационной безопасности понять основные проблемы сегодняшнего SOC и определить методы их устранения с помощью решения класса SOAR.
В статье используются следующие сокращения и термины:
Что из себя представляет SOC?
SOC, также известный как ЦИБ (Центр Информационной Безопасности) или ОЦИБ (Операционный Центр Информационной Безопасности), представляет собой систему, состоящую из трех ключевых компонентов: люди, процессы, технологии.
Эти три элемента формируют единый механизм, схожий с «автомобилем», который движется в определенном направлении. Если, предположим, у этого «автомобиля» возникает сбой в двигателе, коробке передач или происходит обычная поломка колеса, движение приостанавливается. То же самое происходит и с SOC, если хотя бы один из его основных компонентов функционирует некорректно, что влечет падение общей эффективности.
В современных условиях SOC обладает множеством утилит и решений, требующих экспертизы для эффективной работы с каждым из них. Как следствие, невозможно быть полностью знакомым с каждым решением или вендором на 100%.
Далее появляется проблема с большим количеством ложноположительных срабатываний, так как каждое решение генерирует свои собственные алерты и инциденты. В результате аналитикам SOC приходится тратить драгоценное время на разрешение ложных срабатываний.
Если к этому прибавить отсутствие четко определенных процессов и процедур, эффективность SOC снижается до минимума.
С проблемами могут справиться решения класса SOAR
Чтобы понять, как работают решения класса SOAR, рассмотрим пример развертывания Cortex XSOAR (Extended Security Orchestration, Automation, and Response) от Palo Alto Networks.
SOAR-решения используются в роли централизатора и оркестратора для других решений в ИБ. XSOAR — это система, которая может сама:
Пример развертывания XSOAR
В следующем примере рассмотрим, как развертывание XSOAR выглядит архитектурно и на практике:
Для самого простого варианта развертывания потребуется всего одна виртуальная машина под операционной системой Linux (в данном примере используется Ubuntu), в которой можно установить Server и Engine — основные компоненты Cortex XSOAR.
Архитектура данного решения предоставляет возможность легко интегрироваться с различными инфраструктурами, даже в случае их полной изоляции от внешнего мира. Достаточно просто запустить готовый скрипт-установщик, который автоматически развернет основные компоненты. Если вам нужны более подробные указания по установке и настройке данного решения, вы можете обратиться к автору через личные сообщения.
В решении есть преднастроенные дашборды, но их можно также полностью кастомизировать под любые задачи. Вот несколько примеров:
В Cortex XSOAR Marketplace есть свыше 800 интеграций с различными вендорами и решениями, что является одним из его главных преимуществ. Интеграции очень простые и в самой системе есть готовые step-by-step гайды по каждой из них.
Пример интеграции с песочницей Wildfire от Palo Alto Networks:
Каждый контент пак содержит в себе как интеграцию, так и готовые плейбуки:
Есть также встроенный TIM:
Автоматизация выполнена за счет скриптов в формате Python, Javascript, Powershell. Есть встроенный “помощник” для пользователей, которые умеют только читать код.Так выглядит Playbook:
Это был поверхностный обзор. Далее перейдем к реальному примеру.
В тестовой среде выполнена интеграция с Palo Alto Networks NGFW, Cortex XDR (еще одно решение из линейки Cortex), из которых приходят инциденты и алерты, и песочницей Wildfire.
В Cortex XSOAR есть удобный функционал для тестирования отработки Playbook. Это встроенная утилита для генерации рандомных инцидентов.
Для примера сгенерирован инцидент в Cortex XDR. Давайте посмотрим, как Cortex XSOAR отработал этот инцидент.
Перейдя в сам инцидент, мы увидим, что через консоль XSOAR можно во время расследования уже совершить какое-либо действие над конечной станцией. Например, изолировать ее.
Переходим в следующие вкладки.
Ниже видим, что Cortex XSOAR автоматически применил и запустил Playbook.
Он выдает вердикт на основе данных, полученных из полного анализа и расследования, а также применяет реагирование, где это нужно.
Инцидент был проработан, закрыт и задокументирован в базу.
Инцидент можно переоткрыть в любое время и продолжить расследование, если в этом есть необходимость.
Выводы
Давайте суммируем, какие выгоды предоставляет решение Cortex XSOAR для оптимизации работы SOC:
С учетом этих преимуществ Cortex XSOAR становится неотъемлемой частью современного SOC, помогая организациям достигать новых уровней информационной безопасности.
Для дополнительных вопросов и демо вы можете обратиться по адресу pan@bakotech.com.
The post Cortex XSOAR: как повысить эффективность SOC appeared first on InfoCity.
