Trois tâches que vous devriez automatiser dans votre SOC

L'un des thèmes que nous abordons souvent sur ce blog est que, pour répondre efficacement à la rapidité et au volume des alertes de sécurité que reçoivent aujourd'hui les organisations, elles doivent commencer à automatiser une partie de leurs processus les plus répétitifs. Nous avons également souligné que opérations de sécurité automatisées améliorer l'efficacité globale des centres d'opérations de sécurité (SOC) en libérant du temps pour que les analystes de niveau 2 et 3 puissent se concentrer sur la recherche d'attaques complexes et la création de nouveaux processus pour les résoudre.

La question logique suivante est : quels processus les SOC devraient-ils automatiser ? Il n’existe pas de solution universelle ; chaque organisation doit examiner attentivement ses propres opérations pour déterminer lesquelles permettraient de gagner le plus de temps grâce à l’automatisation. Il existe cependant plusieurs tâches répétitives et peu complexes que presque tous les SOC gagneraient à confier à un outil d’automatisation :

1. Identification faussement positive : L'institut Ponemon a récemment mené une enquête auprès de 630 professionnels de la sécurité informatique et a constaté que les organisations gaspillent une quantité stupéfiante de ressources. 395 heures En moyenne, 41 % des organisations enquêtent chaque semaine sur les faux positifs. La même étude révèle que seulement 41 % d'entre elles utilisent des outils d'automatisation capables d'identifier les menaces réelles. Celles qui exploitent des opérations de sécurité automatisées estiment qu'en moyenne, 60 % des attaques contre les logiciels malveillants peuvent être gérées sans intervention humaine. Ces chiffres sont sans équivoque : les faux positifs représentent un problème majeur. perte de temps et l'automatisation est un moyen efficace de récupérer ce temps.

2. Génération de billets : Copier-coller des informations provenant d'e-mails de support ou d'outils de détection — une tâche que de nombreuses organisations confient encore à leurs cadres supérieurs — est une perte de temps. Ces experts devraient plutôt consacrer leurs journées au développement de nouvelles techniques d'atténuation des menaces ou à la formation des jeunes membres de l'équipe afin qu'ils deviennent des contributeurs clés au sein du SOC. La génération de tickets est sans doute le meilleur exemple de tâche simple et répétitive. De ce fait, l'automatisation s'impose naturellement.

3. Génération de rapports : Surveillance indicateurs clés Il est crucial pour les RSSI et les DSI de mettre en place des rapports et des tableaux de bord clairs et concis afin d'améliorer la productivité de leurs équipes et de suivre de près l'efficacité globale de leur SOC. La conversion de ces indicateurs en rapports et tableaux de bord présentant l'information de manière claire est également essentielle, notamment lorsque la direction générale demande une mise à jour de sécurité ou des justificatifs pour un investissement technologique. Le reporting est une fonction importante d'un SOC qui ne devrait jamais être négligée. relégué au second plan—mais le processus de synthèse des indicateurs en résumés clairs ne doit pas non plus être effectué manuellement.

Pensez-vous que votre SOC pourrait bénéficier d'opérations de sécurité automatisées et souhaitez-vous voir cette technologie en action ? Commençons !