Tipps zur Transformation der SecOps-Kommunikation für eine schnellere Vorfallsbehebung

Der Lieblingsärgernis der Sicherheitsanalysten

Da Sicherheitsorganisationen immer komplexer und vernetzter werden, fungieren Sicherheitsexperten häufig als zentrale Anlaufstelle für die Zusammenarbeit mit Personen außerhalb ihrer jeweiligen Teams. Diese Verantwortung für die funktionsübergreifende Kommunikation kommt zusätzlich zu ihren ohnehin schon anspruchsvollen täglichen Aufgaben hinzu.

Ein Tag im Leben eines Sicherheitsoperationszentrums (SOCDie Analyse verläuft wie folgt:

1. Der Sicherheitsautomatisierung Die Plattform empfängt eine Warnmeldung. Diese wird automatisch verarbeitet und angereichert, bevor der Analyst benachrichtigt wird. Dadurch erhält der Analyst so viele relevante Informationen wie möglich für die bevorstehende Untersuchung.

2. Nach Prüfung des Falls muss der Analyst den Zweck und die erwartete Art der Benutzeraktivität bestätigen. In diesem Beispiel befindet sich der Benutzer zwar innerhalb des Unternehmens, gehört aber nicht zur Sicherheitsabteilung.
   
3. Als Nächstes kontaktiert der Sicherheitsanalyst den Benutzer und aktualisiert den Fall, muss aber die Antwort des Benutzers abwarten, bevor er die Untersuchung fortsetzen kann. In der Zwischenzeit… SOC-Analyst geht zur nächsten Warnmeldung über.
   
4. Nach einer willkürlichen Zeitspanne sieht der Benutzer die Nachricht des Analysten und antwortet.

5. Erst dann kann der Sicherheitsanalyst die Untersuchung fortsetzen. Nach einem Aufgabenwechsel benötigt der Analyst eine kurze Auffrischung der Falldetails.

Dieser Prozess erweist sich für Analysten als frustrierend und führt zu Verzögerungen bei der gesamten Alarmbearbeitung. Analysten haben keinen Einblick in den Zeitpunkt der Nutzerantwort, was ihre Arbeitsbelastung erhöht, da sie sich erneut mit dem Fall vertraut machen müssen.

Macht für den Praktiker: Der Wert nahtloser Kommunikation 

Swimlane-Turbine bietet ein Kollaborationsmodul als Erweiterung der Funktionen seiner Sicherheitsautomatisierungsplattform. Die Kollaborationserweiterung verwendet modulare und wiederverwendbare Komponenten, um vordefinierte Vorlagen für den Versand kontextbezogener Nachrichten an externe Messaging-Systeme wie E-Mail, Slack oder Microsoft Teams zu erstellen. Diese Nachrichten können basierend auf einer beliebigen Anzahl benutzerdefinierter Auswahlmöglichkeiten eine Aktion auslösen. genehmigen, bestätigen, ablehnen oder um Kontaktaufnahme bitten. Diese in der Kollaborationserweiterung enthaltenen Funktionen ermöglichen es auch Nicht-Swimlane-Benutzern, problemlos auf von Turbine generierte Nachrichten zu reagieren und an Sicherheitsworkflows teilzunehmen.

Lesen Sie weiter, um mehr zu erfahren über Die drei besten Möglichkeiten, die Turbine-Kooperationserweiterung zu nutzen.

1. Verbesserung der Erkennungssignale durch nutzerzentrierte Triage

Zunächst einmal ist es wichtig, das Konzept und den Umfang von “Erkennung” zu erläutern. Erkennung ist die Zusammenführung und Korrelation eines oder mehrerer Ereignisse zu einer handlungsrelevanten Warnung. Mit der Einführung von Sicherheitsautomatisierung in moderne Sicherheitsbetriebsabläufe (SecOpsIm Technologie-Stack gibt es eine zusätzliche Phase namens Alarmdekoration. Zusätzliche Abfragen, Anreicherungen und andere automatisierte Aktivitäten finden statt, um das Verständnis des Alarms für die Analysten zu verbessern.  

Die Turbine-Kollaborationserweiterung ergänzt moderne SecOps-Funktionen um eine weitere Ebene der Erkennungsanalyse – die benutzerzentrierte Triage-Ebene. Das System lädt automatisch eine vordefinierte Vorlage, angereichert mit Kontextinformationen aus der Warnmeldung. Der betroffene Benutzer erhält eine Nachricht mit Fragen wie “Haben Sie diese Aktivität durchgeführt?” oder “Haben Sie sich zu dieser Zeit von diesem Standort aus angemeldet?”. Basierend auf der Auswahl des Benutzers aus einer vordefinierten Liste von Optionen werden anschließend automatisierte Aktionen ausgelöst.

Diese Benutzerinteraktion erweitert den Erkennungsbereich und spart dem SOC-Analysten Zeit und manuellen Aufwand. Allein dieses Beispielszenario kann Analysten jede Woche stundenlange Arbeit ersparen.

2. Genehmigte Aktionen automatisieren

Nicht nur Sicherheitsorganisationen sind zunehmend vernetzt, sondern auch die gesamte IT-Abteilung. Der vermehrte Einsatz von Microservices erschwert es, die Auswirkungen einzelner Maßnahmen zur Problembehebung auf das Gesamtsystem vollständig zu erfassen. Aufgrund dieser Vernetzung und Komplexität kommt es häufig vor, dass Maßnahmen zur Bedrohungsabwehr zu Betriebsunterbrechungen führen. Ein SOC-Analyst kann nicht gleichzeitig Experte für diese vernetzte Infrastruktur sein. Daher müssen viele Sicherheitsteams den wichtigsten Stakeholdern Maßnahmen zur Bedrohungsabwehr vorschlagen, bevor sie handeln können. Diese Verzögerung zwischen Anfrage, Antwort und daraufhin ergriffenen Maßnahmen verlängert die kritische Zeit für die Bedrohungsabwehr. 

Die Turbine-Kollaborationserweiterung ermöglicht es Analysten, automatisierte Genehmigungsanfragen schnell und effizient an Fachexperten zu senden. Nach Eingang einer Antwort aus einer vordefinierten Liste von Optionen kann Turbine die entsprechende Maßnahme automatisch ausführen, ohne dass ein weiteres Eingreifen des Analysten erforderlich ist.

3. Teambenachrichtigungen optimieren

Die Rolle des Analysten, unterstützt durch automatisierte Erkennungsprozesse, gleicht der Suche nach der Nadel im Heuhaufen. Da jedoch die Anzahl der Telemetriequellen und deren Volumen stetig wächst, steigt auch die Anzahl der automatisierten Erkennungen. Dadurch wandelt sich die Herausforderung von der Suche nach der Nadel im Heuhaufen zur Suche nach der Nadel im Nadelhaufen. Angesichts dessen ist es für einen Analysten äußerst schwierig, die entscheidende Nadel zu finden.
Der Turbine Die Erweiterung für die Zusammenarbeit ermöglicht es SOC-Analysten, Nachrichten an einen Kommunikationskanal außerhalb der Sicherheitsautomatisierungsplattform zu senden, beispielsweise an Slack oder Microsoft Teams. Dies ermöglicht schnelle erste Maßnahmen aus einer Liste vordefinierter Optionen. erkennen, validieren, eskalieren!

Sehen Sie es in Aktion

Eine detailliertere Anleitung finden Sie in unserer Videodemonstration. Sehen Sie selbst, wie … Swimlane-Turbine Die Erweiterung für Zusammenarbeit vereinfacht die Kommunikation ungemein.

Zusammenfassend lässt sich sagen, dass Turbine die Zusammenarbeit grundlegend neu gestaltet und die Verbesserung und Beschleunigung von Kommunikation und Reaktionszeiten priorisiert. Dieser Wandel stärkt die Anwender, indem er ihnen die Kontrolle zurückgibt. Die Automatisierung von Turbine lenkt die Aufmerksamkeit der Analysten und trägt so zu seiner Effektivität im operativen Umfeld bei.

Falls Sie noch keine Gelegenheit hatten, Swimlane Turbine zu erkunden, würden wir Sie ermutigen, eine Anfrage zu stellen. Demo hier.