معرفی Splunk SOAR

Splunk Phantom که به Splunk SOAR تغییر نام داده است، یک راه حل امنیتی هماهنگ سازی، اتوماسیون و پاسخ (SOAR) است. اتوماسیون امنیتی شامل اجرای اقدامات امنیتی مبتنی بر ماشین برای شناسایی، بررسی و اصلاح تهدیدات به صورت برنامه‌ای است.

معرفی Splunk SOAR
معرفی Splunk SOAR

 

SOAR چیست؟

فناوری‌های هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ یا SOAR به سازمان‌ها منبع واحدی برای مشاهده، درک، تصمیم‌گیری و اقدام در مورد حوادث امنیتی می‌دهند.

گارتنر در اصل این اصطلاح را برای توصیف همگرایی هماهنگ سازی و اتوماسیون امنیتی، پلتفرم‌های پاسخ به حوادث امنیتی (SIRP) و پلتفرم‌های اطلاعاتی تهدید (TIP) ابداع کرد. همچنین ممکن است SOAR را به عنوان SA&O ببینید، اگرچه یک پلتفرم واقعی SOAR با ادغام یک قابلیت پاسخگویی کامل به حادثه نیز فراتر از اتوماسیون امنیتی (SA) و اتوماسیون امنیتی و هماهنگ‌سازی (SA&O) خواهد بود.

SOAR انقلابی در عملیات امنیتی ایجاد کرده است، به ویژه نحوه مدیریت، تجزیه و تحلیل و واکنش تیم های عملیات امنیتی به هشدارها و تهدیدها. بدون نوعی اتوماسیون امنیتی، تحلیلگران امنیتی به صورت دستی با تعداد فزاینده‌ای از حملات سایبری برخورد می کنند.

 از آن جایی که آنها مسئول رسیدگی به هزاران (گاهی اوقات حتی میلیون‌ها) هشدار هستند، پاسخ به حادثه، اصلاح و بازیابی ممکن است روزها یا حتی هفته ها  طول بکشد  و این در صورتی است که کارکنان کافی از افراد واجد شرایط داشته باشند. در سطح جهانی، این صنعت با کمبود شدید استعدادهای امنیت سایبری مواجه است.

بر اساس گزارش Cybersecurity Ventures، تعداد مشاغل تکمیل نشده در زمینه امنیت سایبری بین سال‌های 2013 و  2021،  350 درصد افزایش یافته است. (از 1 میلیون به 3.5 میلیون نفر) با توجه به این موضوع، این امکان وجود دارد که تیم امنیتی شما تهدیدات واقعی را از دست داده باشد، زیرا آنها سعی می‌کنند به سرعت و در حال برخورد با مسائل باشند.

اینجاست که SOAR وارد می‌شود. راه‌حل‌های SOAR کمک می‌کنند تا وظایف امنیت سایبری را تکمیل  کنند و زمان مدیران امنیتی شما را با استفاده از یادگیری ماشین و اتوماسیون محدود می‌کنند، در حالی که به آن‌ها هماهنگی در زیرساخت‌های امنیتی‌شان ارائه می‌دهند تا کارآمدتر باشند. این راهکار  کمک می کند تا برای رسیدگی به حوادث بیشتر ادمین‌ها ، مهم‌ترین مسائل را عمیق‌تر بررسی کنند و وضعیت امنیتی کلی سازمان شما را به طور گسترده بهبود بخشند.

اتوماسیون امنیتی چگونه کار می کند؟

Splunk SOAR

 

اتوماسیون امنیتی اجرای اقدامات امنیتی مبتنی بر ماشین با قدرت شناسایی، بررسی و اصلاح تهدیدات سایبری بدون نیاز به دخالت انسان است.

SA (اتوماسیون امنیتی) بسیاری از کارها را برای کارکنان امنیتی شما انجام می دهد، بنابراین آنها دیگر مجبور نیستند هر هشداری را که وارد می شود بررسی کنند و به صورت دستی آن را بررسی کنند.  با کمک اتوماسیون امنیتی سازمان ها می توانند :

  1. تهدیدات موجود در محیط سازمان را شناسایی کنند.
  2. تهدیدات بالقوه را با پیروی از مراحل، دستورالعمل‌ها و گردش کار تصمیم‌گیری که توسط تحلیلگران   امنیتی برای بررسی رویداد و تعیین اینکه آیا یک حادثه قانونی است یا نه، تریاژ کنند.
  3. تصمیم بگیرند که آیا در مورد حادثه اقدام کنند یا خیر.
  4. موضوعات را در نظر گرفته و حل کنند.

همه اینها می تواند در چند ثانیه و بدون دخالت کارکنان انسانی اتفاق بیفتد. اقدامات تکراری و وقت گیر از دست تحلیلگران امنیتی خارج می شود تا آنها بتوانند بر کارهای مهم‌تر و ارزش افزوده تمرکز کنند.

 

SOAR

 

ارکستراسیون(هماهنگ کننده ) امنیتی چیست؟

ارکستراسیون امنیتی (SO) هماهنگی مبتنی بر ماشین مجموعه‌ای از اقدامات امنیتی وابسته به هم در یک زیرساخت پیچیده است. این تضمین می‌کند که همه ابزارهای امنیتی سازمان  و حتی ابزارهای غیرامنیتی – با هم کار می‌کنند، در حالی که وظایف را در محصولات و گردش‌های کاری خودکار می‌کنند.

SO بررسی حادثه، واکنش و در نهایت حل و فصل را هماهنگ می کند. علاوه بر این، نیازی به تحلیلگران امنیتی برای پیمایش چندین صفحه و سیستم، جمع‌آوری همه چیز در یک مکان و نمایش آن در یک داشبورد را از بین می‌برد.

هماهنگی امنیتی می تواند:

  1. زمینه را در مورد حوادث امنیتی فراهم کنید: یک ابزار هماهنگ‌سازی امنیتی داده‌ها را از منابع مختلف جمع‌آوری می‌کند تا بینش عمیق‌تری ارائه دهد. به این ترتیب، ادمین ها دید جامع از کل محیط به دست می آورند.
  2. امکان بررسی های عمیق تر و معنادارتر را فراهم کنید: تحلیلگران امنیتی می توانند مدیریت هشدارها را متوقف کنند و شروع به بررسی علت وقوع آن حوادث کنند. به‌علاوه، ابزارهای هماهنگ‌سازی امنیتی معمولاً داشبوردها، نمودارها و جدول‌های زمانی بسیار تعاملی و بصری را ارائه می‌دهند که می‌توانند در طول فرآیند تحقیق و پاسخ مفید باشند.
  3. بهبود همکاری: ممکن است احزاب دیگر، از جمله تحلیلگران در سطوح مختلف، مدیران، مدیران ارشد فناوری اطلاعات و C-suite، تیم های حقوقی و منابع انسانی نیز نیاز به درگیر شدن با انواع خاصی از حوادث امنیتی داشته باشند.

در نهایت، ارکستراسیون یکپارچگی دفاع سازمان را افزایش می‌دهد و به تیم امنیتی اجازه می‌دهد فرآیندهای پیچیده را خودکار کند و ارزشی را که از کارکنان امنیتی، فرآیندها و ابزار دریافت می‌کنید، به حداکثر برساند.

 

برای کسب اطلاعات بیش تر در خصوص لایسنس اسپلانک اینجا کلیک کنید.

مزایای SOAR چیست؟

فناوری‌های SOAR می‌توانند بسیاری از اقدامات تکراری و پیش پا افتاده را در کل چرخه حیات تهدیدات امنیتی کاهش دهند تا تیم امنیتی بتواند روی کارهای مهم‌تر تمرکز کند.

مزایای کلیSOAR  به شرح زیر است :

  1. ادغام امنیت، عملیات فناوری اطلاعات و ابزارهای اطلاعاتی تهدید
  2. مشاهده همه اطلاعات لازم برای بررسی حوادث در کنسول
  3. واکنش سریع به حوادث
  4. جلوگیری از اقدامات وقت گیر
  5. دسترسی به اطلاعات بهتر از طریق دسترسی SOAR به داده های پلتفرم‌های اطلاعاتی تهدید، فایروال، سیستم های تشخیص نفوذ،SIEM  و سایر فناوری ها
  6. بهبود گزارش‌دهی و ارتباطات
  7. تقویت توانایی تصمیم‌گیری با راهنمای جامع

موارد استفاده از SOAR

برخی از نمونه ها عبارتند از:

  1. مبارزه با حملات سایبری با واکنش خودکار حوادث
  2. شکار تهدید
  3. تست نفوذ
  4. بهبود مدیریت کلی آسیب پذیری

 

لایسنس اسپلانک
معرفی Splunk SOAR