Esto es lo que debe incluir la gestión de casos de una plataforma SOAR

Cuando escuchas Orquestación, automatización y respuesta de seguridad (SOAR), La gestión de casos no suele ser lo primero que viene a la mente. Pero es un componente fundamental de un sistema sofisticado. Plataforma SOAR y es donde realmente cobra vida la vida de un equipo de seguridad.

Las plataformas SOAR consolidan herramientas dispares y ejecutan flujos de trabajo automatizados complejos. Sin embargo, la gestión eficaz de casos va un paso más allá al brindar a los analistas de seguridad acceso a una única vista del registro de casos para analizar dinámicamente e interactuar con todos los datos y componentes relacionados con un incidente.

¿Qué es la gestión de casos?

La gestión de casos implica la recopilación, el análisis, el enriquecimiento y la respuesta a alertas y eventos relacionados con la seguridad en un único centro de colaboración. Las amenazas se identifican y priorizan según su nivel de riesgo. Según la gravedad de la amenaza, la plataforma SOAR puede automatizar el proceso de respuesta a incidentes o alertar a los analistas del SOC para que intervengan. Las sólidas capacidades de gestión de casos también proporcionarán contexto adicional, como alertas similares anteriores.

La gestión de casos es un componente clave de cualquier plataforma SOAR moderna. Estas son las principales características que su SOAR debe incluir para una gestión de casos eficaz:

Facilidad de uso

Las plataformas SOAR deben proporcionar información rápida y automatizada centralizando los datos de alerta de múltiples fuentes. Esta información debe presentarse en un formato visual fácil de entender. La facilidad de uso es fundamental. 

El escenario ideal incluye la capacidad de incorporar la visualización directamente dentro del registro de caso individual, incluidas vistas extraídas de sistemas de terceros para facilitar la resolución de incidentes y permitir que los analistas trabajen dentro de procesos estandarizados.

Datos de incidentes enriquecidos en tiempo real

El día tiene un número limitado de horas. Los analistas no deberían dedicar la mayor parte de su tiempo a recopilar información manualmente. En cambio, una plataforma SOAR moderna analiza y enriquece los datos de incidentes en tiempo real para agilizar la toma de decisiones. 

Reconoce alertas de múltiples fuentes y puede analizarlas en busca de similitudes. Cuando surgen alertas graves de un solo evento, una plataforma SOAR debería agregarlas automáticamente a un solo caso, evitando que el equipo duplique esfuerzos y busque detalles en varios lugares. 

Esto agiliza la gestión de casos, lo que permite a los analistas gestionar más casos en menos tiempo. También ayuda a los analistas a institucionalizar procesos comerciales que puedan garantizar que se mantengan los estándares de cumplimiento. 

Detección y análisis automatizados en todas las herramientas

En lugar de actuar únicamente como un depósito de pruebas, una plataforma SOAR también debería proporcionar una gestión dinámica de casos que combine automatización, orquestación y actividades de análisis. Si bien la superposición de herramientas de seguridad puede ser inevitable, el equipo de seguridad no debería tener que alternar entre diferentes herramientas y tecnologías para responder y remediar una alerta, incluso cuando hay muchas alertas para una misma amenaza. 

A partir de cualquier registro, un analista debería poder ejecutar al instante diversas acciones de investigación correlacionadas específicas para ese caso. Por ejemplo, sus analistas de seguridad deberían poder ver fácilmente los detalles de un ataque dirigido a un único endpoint. A partir de ese registro de caso individual, pueden iniciar una búsqueda mediante su sistema de gestión de información y eventos de seguridad (SIEM) o detección y respuesta de endpoints (EDR) para localizar cualquier otro dispositivo que también haya sido objeto del mismo ataque, sin necesidad de abandonar el registro original del caso.

Remediación con un solo clic

Los analistas del SOC utilizan innumerables herramientas para responder a las amenazas. Si bien pueden ser expertos en algunas herramientas del SOC, es imposible serlo en... cada Herramienta esencial en cualquier conjunto de seguridad. La gestión de casos de una plataforma SOAR debería facilitar la realización de acciones básicas desde una única ubicación. 

La remediación con un solo clic activa acciones básicas, como deshabilitar un usuario o aislar un host. Los analistas no necesitan ser expertos en todas las herramientas del SOC para actuar cuando sea necesario. Con una gestión de casos robusta, se pueden activar varias acciones en una sola pestaña, como se muestra arriba. 

Comunicación interdepartamental

La comunicación desempeña un papel crucial tanto en la búsqueda proactiva de amenazas como en la respuesta a incidentes dentro del centro de operaciones de seguridad (SOC). Los equipos de seguridad necesitan transmitir información clara y rápida sobre los casos a otros analistas e ingenieros del equipo. Por eso, una plataforma SOAR moderna actúa como un centro de colaboración para todo lo relacionado con la seguridad. 

Debe esperar un chat en línea para la comunicación interna, así como integraciones con herramientas de comunicación para involucrar a las partes interesadas externas en la conversación. Es importante que Plataforma SOAR Incorpora a los humanos al proceso para detener las amenazas de forma más rápida y eficaz.

Vea a continuación una demostración de estas capacidades de gestión de casos en acción. 

Además de seguridad automatización y seguridad orquestación, Las plataformas SOAR deben capturar datos de incidentes relevantes, en tiempo real y enriquecidos para impulsar la gestión de casos y agilizar las investigaciones. No olvide que la capacidad de gestión de casos de una solución SOAR también debe ser totalmente interactiva y estar estrechamente integrada con su flujo de trabajo de respuesta a incidentes. Esto integra todo el proceso de respuesta a incidentes, lo que resulta en una defensa dinámica que se adapta para abordar una infinidad de casos de uso relevantes y mantener su organización más segura.