[ad_1]

پیاده سازی یک ابزار اتوماسیون و پاسخ ارکستراسیون امنیتی (SOAR) یک توانایی اساسی برای تیم های عملیاتی امنیتی برای انجام م responseثر پاسخ به حادثه است. حجم رویداد امنیتی همچنان به صورت تصاعدی رشد می کند و برای ایجاد یک سازمان برای موفقیت ، باید م componentsلفه های مناسب فناوری وجود داشته باشد.

اطلاعات امنیتی و مدیریت رویدادها (SIEM) این است که ساختمان اصلی برای استفاده بیشتر از یک ابزار SOAR مورد نیاز است. این دو ابزار امنیتی قابلیت های مکمل را ارائه می دهند که برای همگام شدن با تهدیدهای روزافزون و پیچیده تر ضروری هستند.

برای سازمانهایی که ممکن است در مورد زمان یا چگونگی اجرای هر یک از این ابزارها تصمیم بگیرند تا تفاوتها و مزایای هر یک را قبل از تصمیم گیری استراتژیک درک کنند ، مهم است.

یک ابزار SIEM در درجه اول برای جمع آوری و همبستگی داده های رویداد سازمان در یک مکان مرکزی استفاده می شود. این اجازه را به مهندسین امنیتی می دهد تا مجموعه قوانین و آستانه ها را تنظیم کنند تا از طریق آن فقط در معنادارترین و پرخطرترین رویدادها بر اساس مشخصات منحصر به فرد هر سازمان ، هشدار ایجاد کنند. ابزارهای SIEM حجم بی شماری از داده ها را تجزیه می کند تا نویز را کاهش دهد و به زیرمجموعه ای فیلتر شود که نیاز به بررسی و اقدام بیشتر دارد.

از طرف دیگر ، یک ابزار SOAR برای پیوند دادن ابزارهای متفاوت در زیرساخت فناوری اطلاعات سازمان با تنظیم اقدامات یا پاسخ خودکار براساس گردش کار از پیش تعریف شده یا “کتاب های بازی” استفاده می شود.

قابلیت های SOAR تیم های امنیتی با منابع ثابت را قادر می سازد تا از طریق افزایش قابلیت های اتوماسیون ، خواسته های حجم رویداد بالاتر را برآورده کنند. به طور سنتی فرآیندهای دستی مانند به روزرسانی پیکربندی ، تغییر قوانین یا سایر مراحل اکنون می توانند به صورت نیمه خودکار یا کاملاً خودکار در پاسخ به انواع خاص رویداد اجرا شوند.

فناوری SIEM برای یک برنامه امنیتی کاملاً ضروری است. این همان بلوک ساختاری بنیادی است که سایر ابزارها می توانند با آن ادغام شوند و قابلیت های واکنش حادثه را واقعاً به سطح بالاتری برسانند.

برای اینکه یک سازمان بتواند بیشترین مزایا را از یک پیاده سازی SOAR بدست آورد ، این کار باید پس از راه اندازی یک ابزار دقیق SIEM انجام شود. تجمع و همبستگی رویدادهای موجود توسط ابزار SIEM مکانیزمی را برای م componentلفه SOAR فراهم می کند تا اقدامات را با اتوماسیون بیشتر بر اساس دامنه کامل رویدادهای امنیتی سازمان تسهیل کند.

هنگامی که توابع SOAR بدون SIEM اجرا می شوند ، ممکن است برخی اتوماسیون های siled همراه با یکپارچه سازی ابزار انجام شود ، اما زمینه رویداد اضافی تولید شده از SIEM از بین می رود. بدون قابلیت SIEM ، مزایای کامل اجرای یک ابزار SOAR محقق نخواهد شد.

قابلیت SOAR می تواند برنامه های امنیتی را به سطح بالاتری از بهره وری عملیاتی هنگام استفاده از فناوری SIEM برساند. با این حال ، فناوری به تنهایی نمی تواند یک سازمان را متحول کند – این فقط به عنوان یک مجرا برای کارایی بیشتر عمل می کند و تیم ها را قادر می سازد تا کارهای کمتری انجام دهند.

برای استفاده بیشتر از سرمایه گذاری ابزار SOAR ، رهبران ارشد باید موارد زیر را در نظر بگیرند:

  • اهداف کلی و نتایج مورد انتظار
  • مدلهای صدور مجوز را درک کنید.
  • یک ابزار مدیریت متمرکز بالغ و / یا SIEM.
  • کاملاً متداول ترین رویدادهای متداول مناسب برای اتوماسیون را درک کنید.
  • مراحل پاسخ را برای هر نوع رویدادی که می تواند در کتابهای پخش در ابزار SOAR گنجانده شود ، تعیین کنید.
  • مشخص کنید که کدام ابزار موجود با توابع SOAR برای اتوماسیون ادغام خواهد شد.
  • یک قدرتمند ایجاد کنید مفهوم عملیات (Conops) بین امنیت و عملیات IT برای واگذاری کار بین ابزارهای فروش بلیط و گردش کار SOAR.
  • چارچوبی ایجاد کنید که در آن بازخورد مداوم و تجزیه و تحلیل علت ریشه ، ابزارهای موجود را بیشتر پالایش کرده و اتوماسیون بیشتری را هدایت کند.

ابزارهای امنیتی می توانند مزایای بسیار زیادی را به همراه داشته باشند ، اما بدون برنامه ریزی مناسب و ساختار عملیاتی در داخل یک سازمان ، منافع کامل ممکن است محقق نشود. چشم انداز امنیت بیشتر همراه با ارکستراسیون و اتوماسیون برای همگام سازی با تهدیدات در حال تکامل و محافظت از داده های حساس ، ممکن است انگیزه لازم برای به حداکثر رساندن ابزارهای امنیتی جدید باشد.

[ad_2]

منبع: tadrisriazi-news.ir