11 questions à se poser lors de l'évaluation d'une plateforme SOAR

L'une des solutions les plus précieuses dans un environnement SOC est une plateforme SOAR (Security Orchestration, Automation and Response). Elle a été conçue pour apporter la couche d'action manquante, indispensable pour trier rapidement et efficacement les alertes, réduire les faux positifs et fournir aux analystes les renseignements de sécurité dont ils ont besoin.

Plateformes SOAR aider les équipes des opérations de sécurité (SecOps) à accroître leur efficacité en regroupant la quantité croissante de données, en transformant ces données en informations exploitables, puis en automatisant un pourcentage important du processus de réponse aux incidents.

Avec SOAR, les analystes sont en mesure de répondre à chaque alerte tout en réduisant le temps moyen de résolution (MTTR) grâce à un tableau de bord complet présentant une vue d'ensemble des alertes et des outils, ainsi que des informations et des indicateurs permettant de surveiller les performances, simplifiant, automatisant et documentant l'ensemble du processus de réponse aux incidents.

Mais toutes les plateformes SOAR ne se valent pas. Au moment d'évaluer une plateforme SOAR, voici les 11 questions à se poser.

1. Quels cas d'utilisation cette solution peut-elle automatiser ?

L'un des principaux critères à prendre en compte lors de l'évaluation d'une plateforme SOAR est son aptitude à automatiser divers cas d'usage pour votre équipe SecOps. Une bonne plateforme SOAR sera capable d'automatiser de nombreux cas d'usage. Cas d'utilisation courants de SOAR inclure:

• Automatisé enquête sur l'hameçonnage et réponse

• triage des alertes SIEM et EDR

• Gestion automatisée du renseignement sur les menaces

• confinement des logiciels malveillants

Ces cas d'utilisation constituent un bon point de départ, mais il se peut que votre organisation ait besoin d'automatiser des cas d'utilisation spécifiques à son secteur d'activité. Recherchez des cas d'utilisation moins courants (mais tout aussi importants), tels que les enquêtes et les réponses en cas de fraude., menaces internes, l'intégration/le départ des employés et plus encore.

2. Peut-il s'intégrer à n'importe quelle API ?

Assurez-vous que la plateforme SOAR puisse s'intégrer à une grande variété de formats et de sources, notamment à votre infrastructure technique actuelle. Une solution SOAR indépendante de tout écosystème doit également pouvoir s'intégrer à des éléments qui ne font pas partie d'un environnement SecOps classique.

Cela devrait aller au-delà SIEM, Les outils EDR et de veille sur les menaces doivent inclure la télémétrie provenant du cloud, des appareils IoT, des centres de données et des sources de calcul en périphérie. Il convient d'être vigilant face aux risques de dépendance vis-à-vis d'un fournisseur et aux limitations d'intégration.

3. Existe-t-il une dépendance vis-à-vis des développeurs pour l'intégration avec les API ?

De même, évaluez la dépendance des intégrations vis-à-vis du support des développeurs. Faudra-t-il prévoir un budget pour des développeurs internes ou externes dédiés à l'intégration avec des API spécifiques ? Cela réduit le coût global. retour sur investissement (ROI) vous pouvez vous attendre de la plateforme SOAR.

Les plateformes SOAR modernes utilisent des connexions stables, portables et fiables à n'importe quelle API pour simplifier les intégrations.

4. Quel niveau de codage est requis de la part des analystes ?

Historiquement, les solutions SOAR étaient complexes, rigides et difficiles à mettre en œuvre. Le succès des plateformes SOAR traditionnelles reposait sur l'implication des développeurs. Dans le contexte actuel de la sécurité informatique, la pénurie de personnel et le déficit mondial de compétences rendent plus difficile le recrutement d'analystes possédant des compétences avancées en programmation.

Les responsables de la sécurité devraient privilégier une plateforme SOAR qui décharge les analystes des tâches de programmation. Cela leur permettra non seulement de gagner du temps, mais aussi d'améliorer leur satisfaction professionnelle en leur permettant de se concentrer sur les menaces critiques pour l'entreprise.

5. Quel est le processus d'élaboration des schémas de jeu ?

Les playbooks d'une plateforme SOAR performante doivent être suffisamment simples techniquement pour être créés par des analystes de premier niveau et des experts métiers. Parallèlement, ils ne doivent pas compromettre la puissance d'automatisation. Privilégiez une solution dotée d'un outil de création de playbooks intuitif, permettant aux équipes de sécurité de mettre en pratique leurs compétences dans un environnement efficace et personnalisable.

Votre solution SOAR devrait disposer d'une interface utilisateur de type glisser-déposer pour la création et la modification des playbooks, sans être freinée par la programmation.

6. Les manuels de procédures peuvent-ils être personnalisés en fonction de vos processus métier ?

Un outil de création de flux de travail performant doit être compatible avec le code personnalisé et les contenus prêts à l'emploi afin de s'adapter à tout environnement organisationnel. Privilégiez les fournisseurs SOAR qui comptent d'autres clients dans votre secteur d'activité, tels que les infrastructures critiques, les services financiers et les MSSP. Les exigences de ces organisations nécessitent des solutions sur mesure pour une visibilité optimale sur leurs systèmes spécifiques.

7. La plateforme dispose-t-elle d'une gestion de cas intégrée ?

La gestion des cas ne doit pas se limiter à un simple répertoire. Chaque dossier doit être entièrement interactif et s'adapter automatiquement pour afficher les données nécessaires. À l'instar de Salesforce pour les ventes, Workday pour les RH ou ServiceNow pour l'informatique, votre plateforme SOAR doit servir de plateforme de gestion centralisée pour l'ensemble de la sécurité. Elle doit pouvoir capturer les données machine et les fonctions automatisées, ainsi que les décisions humaines prises lors des processus de réponse.

Une plateforme SOAR devrait véritablement être une “système d'enregistrement” sur l’ensemble de la pile technologique. Assurez-vous qu’elle permette une visibilité et un reporting transversaux des écosystèmes afin de fournir des informations exploitables aux parties prenantes de toute l’organisation. ».

8. Est-il possible de créer des tableaux de bord pour présenter les indicateurs clés de performance (KPI) ?

Vous devriez disposer d'une liberté totale pour créer et modifier des tableaux de bord afin d'afficher les données selon vos besoins. Ces tableaux de bord doivent être intuitifs et faciles à personnaliser pour différents utilisateurs, tels que les responsables SOC, les RSSI et même le conseil d'administration.

Les plateformes SOAR performantes combinent intelligence humaine et intelligence artificielle grâce à des fonctionnalités de gestion de cas, de tableaux de bord et de reporting. Cela permet aux équipes SecOps d'obtenir plus facilement des informations exploitables. Indicateurs clés de performance (KPI) comme les benchmarks MTTD, MTTR et MITRE ATTACK.

9. Sera-t-elle toujours en mesure d'atteindre ses indicateurs clés de performance (KPI) si nous nous développons ou prenons de l'ampleur ?

Assurez-vous que la plateforme SOAR puisse ingérer des ensembles de données plus volumineux et plus diversifiés, provenant de sources difficiles d'accès. Veillez à ce que votre solution puisse améliorer les performances de sécurité, notamment le temps moyen de résolution (MTTR), et réduire le temps de latence ; cela nécessitera un débit et une puissance de traitement supérieurs à ceux offerts par la plupart des solutions SOAR.

Une plateforme SOAR doit être évolutive et s'adapter à la croissance de votre SOC. Les solutions SOAR les plus performantes sont capables d'ingérer de grands volumes et des ensembles de données de types variés. Privilégiez les solutions dotées de fonctionnalités facilitant cette ingérence, telles que l'ingestion distribuée de données massives, l'enrichissement en temps réel, le prétraitement et les fonctionnalités associées.

10. Comment cela s'aligne-t-il sur les lois réglementaires spécifiques au secteur et les normes industrielles ?

Les organisations de tous les secteurs sont confrontées à une liste sans cesse croissante de règles sectorielles et d'exigences de conformité. Pour relever ce défi, la plateforme SOAR doit automatiser non seulement les contrôles et procédures de sécurité, mais aussi la capture et l'automatisation de la documentation et du reporting de toutes les activités de sécurité. garantir la conformité et éviter les infractions réglementaires.

Recherchez une plateforme SOAR qui simplifie la documentation et les rapports de conformité. C'est la clé pour éviter bien des problèmes par la suite.

11. Quel est le retour sur investissement attendu ?

Les budgets de sécurité étant toujours limités, chaque nouvel investissement doit être rentable. La valeur d'une plateforme SOAR doit être évidente – si elle l'est. Les économies estimées sur les salaires du personnel, le support (formation, outils, etc.), les outils de sécurité supplémentaires et les coûts de réponse doivent toutes être justifiées. Un fournisseur SOAR de confiance vous offrira une transparence totale sur les coûts initiaux et récurrents. calculer le retour sur investissement de la solution.

SOAR est un outil de sécurité essentiel pour la plupart des organisations. Il permet d'automatiser les processus de sécurité clés et de réagir aux incidents. Pour garantir un retour sur investissement optimal avec la plateforme SOAR choisie par votre organisation, il est important de vous poser (ainsi qu'à votre fournisseur) les questions qui vous aideront à sélectionner la plateforme la mieux adaptée à vos besoins.

Calculateur de retour sur investissement Swimlane

Estimez les économies que vous pouvez réaliser avec Swimlane Turbine.

Calculer les économies