Eis o que deve incluir a gestão de processos de uma plataforma SOAR

Quando você ouvir orquestração, automação e resposta de segurança (SOAR), A gestão de casos geralmente não é a primeira coisa que vem à mente. Mas a gestão de casos é um componente fundamental de um sistema sofisticado. Plataforma SOAR E é aí que realmente ganha vida para uma equipe de segurança.

As plataformas SOAR consolidam ferramentas distintas e executam fluxos de trabalho automatizados complexos. No entanto, o gerenciamento eficaz de casos vai além, oferecendo aos analistas de segurança acesso a uma visão unificada do registro do caso para analisar dinamicamente e interagir com todos os dados e componentes relacionados a um incidente.

O que é Gestão de Casos?

O gerenciamento de casos envolve a coleta, análise, enriquecimento e resposta a alertas e eventos relacionados à segurança em um único hub de colaboração. As ameaças são identificadas e priorizadas com base em seu nível de risco. Dependendo da gravidade da ameaça, a plataforma SOAR pode automatizar o processo de resposta a incidentes ou alertar os analistas do SOC para intervenção humana. Recursos robustos de gerenciamento de casos também fornecerão contexto adicional, como alertas semelhantes anteriores.

O gerenciamento de casos é um componente essencial de qualquer plataforma SOAR moderna. Aqui estão as principais características que sua plataforma SOAR deve incluir para um gerenciamento de casos eficaz:

Facilidade de uso

As plataformas SOAR devem fornecer insights rápidos e automatizados, centralizando dados de alertas de múltiplas fontes. Esses insights devem ser apresentados em um formato visual de fácil compreensão. A facilidade de uso é fundamental. 

O cenário ideal inclui a capacidade de incorporar visualizações diretamente no registro de cada caso, incluindo visualizações extraídas de sistemas de terceiros para facilitar a resolução de incidentes e permitir que os analistas trabalhem dentro de processos padronizados.

Dados de incidentes enriquecidos em tempo real

O dia só tem 24 horas. Os analistas não devem gastar a maior parte do tempo coletando informações manualmente. Em vez disso, uma plataforma SOAR moderna analisa e enriquece os dados de incidentes em tempo real para acelerar o processo de tomada de decisão humana. 

A plataforma reconhece alertas de múltiplas fontes e consegue analisá-los em busca de similaridades. Quando alertas graves surgem de um único evento, uma plataforma SOAR deve adicioná-los automaticamente a um único caso, evitando que a equipe duplique esforços e procure detalhes em vários locais. 

Isso agiliza o gerenciamento de casos, permitindo que os analistas gerenciem mais casos em menos tempo. Também ajuda os analistas a institucionalizar processos de negócios que podem garantir a manutenção dos padrões de conformidade. 

Detecção e análise automatizadas em todas as ferramentas

Em vez de funcionar apenas como um repositório de evidências, uma plataforma SOAR também deve fornecer gerenciamento dinâmico de casos que combine automação, orquestração e atividades de análise. Embora a sobreposição de ferramentas de segurança possa ser inevitável, a equipe de segurança não deve precisar alternar entre diferentes ferramentas e tecnologias para responder e remediar um alerta — mesmo quando houver muitos alertas para uma única ameaça. 

A partir de qualquer registro, um analista deve ser capaz de executar instantaneamente uma série de ações investigativas correlacionadas e específicas para aquele caso. Por exemplo, seus analistas de segurança devem poder visualizar facilmente os detalhes de um ataque direcionado a um único endpoint. A partir desse registro de caso individual, eles podem então iniciar uma busca usando seu sistema de gerenciamento de informações e eventos de segurança (SIEM) ou sistema de detecção e resposta de endpoints (EDR) para localizar quaisquer outros dispositivos que também possam ter sido alvo do mesmo ataque — sem precisar sair do registro de caso original.

Remediação com um clique

Os analistas de SOC transitam entre inúmeras ferramentas para responder a ameaças. Embora possam ser especialistas em algumas ferramentas de SOC, é impossível ser especialista em todas elas. todo Uma ferramenta essencial em todas as camadas de segurança. O gerenciamento de casos de uma plataforma SOAR deve facilitar a execução de ações básicas em um único local. 

A correção com um clique aciona ações básicas, como desabilitar um usuário ou isolar um host. Os analistas não precisarão ser especialistas em todas as ferramentas do SOC para agir quando necessário. Com um gerenciamento de casos robusto, diversas ações podem ser acionadas em uma única aba, como mostrado acima. 

Comunicação Interdepartamental

A comunicação desempenha um papel crucial tanto na busca proativa de ameaças quanto na resposta a incidentes dentro do centro de operações de segurança (SOC). As equipes de segurança precisam transmitir informações sobre os casos de forma clara e rápida para outros analistas e engenheiros da equipe. É por isso que uma plataforma SOAR moderna funciona como um centro de colaboração para tudo relacionado à segurança. 

Você pode esperar um chat integrado para comunicação interna, bem como integrações com ferramentas de comunicação para incluir stakeholders externos na conversa. É importante que o Plataforma SOAR Incorporar os seres humanos ao processo permite neutralizar ameaças de forma mais rápida e eficaz.

Veja abaixo uma demonstração dessas funcionalidades de gestão de casos em ação. 

Além de segurança automação e segurança orquestração, As plataformas SOAR devem capturar dados de incidentes relevantes, em tempo real e enriquecidos para impulsionar o gerenciamento de casos e acelerar as investigações. Não se esqueça de que a capacidade de gerenciamento de casos de uma solução SOAR também deve ser totalmente interativa e integrada ao seu fluxo de trabalho de resposta a incidentes. Isso interliga todo o processo de resposta a incidentes, resultando em uma defesa dinâmica que pode se adaptar para lidar com um número infinito de casos de uso relevantes e manter sua organização mais segura.