[ad_1]

اطلاعات امنیتی و مدیریت رویدادها (SIEM) و ابزار ارکستراسیون ، اتوماسیون و پاسخگویی (SOAR) امنیتی اغلب در مراکز عملیات امنیتی (SOC) وجود دارند. SIEM کاملاً تثبیت شده است ، در حالی که SOAR یک فناوری جدید است. دانستن اینکه آنها چه کاری انجام می دهند و چگونه با هم مطابقت دارند ، قسمت مهمی از دانستن اینکه آیا مناسب شما هستند ، است.

ابزارهای SIEM یکی از ارکان اصلی توانایی نظارت م Sثر در SOC است. آنها با انجام تجزیه و تحلیل در زمان واقعی خوراک داده ها از برنامه ها و زیرساخت ها ، همبستگی این داده ها و هشدار به تحلیلگران هنگام شناسایی رویدادهای مورد علاقه ، کار می کنند.

این هشدارها ممکن است به نقض رخ داده ، یا حتی بهتر کمک کند تا یک مورد را پیش بینی کنید و فرآیندهای پاسخ شما را تحریک کند.

اگر شما مسئول امنیت در یک سازمان متوسط ​​یا بزرگ هستید و فکر می کنید به SIEM نیاز دارید ، احتمالاً این کار را می کنید – در واقع ، احتمالاً قبلاً یک سیستم دارید.

در کنار SIEM ، احتمالاً شما یک سری ابزارهای اضافی دارید که هشدارهای امنیتی را ارائه می دهند.

مشکل هشدارها این است که شما باید کاری با آنها انجام دهید. شما باید تأیید کنید که آنها یک واقعه واقعی هستند ، به عنوان مثال با همبستگی با هوش تهدید ، و شما باید فرایندهای پاسخ را ایجاد و سپس مدیریت کنید.

این به زمان و تلاش نیاز دارد ، گاهی بیشتر از آنچه در دسترس است. برای بسیاری از سازمان ها ، ناامیدی از نداشتن اطلاعات امنیتی کافی می تواند به سرعت با ناامیدی از داشتن بیش از حد برطرف شود.

کار با SIEM می تواند بسیار طاقت فرسا باشد ، زیرا تعداد زیادی هشدار به تعداد زیادی تحلیلگر نیاز دارد. از این بدتر ، فعالیت پردازش اولیه هشدار می تواند بسیار کسل کننده باشد ، به همین دلیل تحلیلگران SOC بیشتر از سایر کارکنان امنیت سایبری بین کارفرمایان حرکت می کنند.

مدیریت همه اینها می تواند کمی حقه بازی باشد ، با چندین کتاب بازی ، چندین ابزار و بدون ادغام واقعی.

سیستم عامل های SOAR بسیاری از این چالش ها را برطرف می کنند و این فناوری به طور خاص با در نظر گرفتن عملکرد روان SOC توسعه یافته است. آنها می توانند به مدیریت ابزارها و منابع اطلاعاتی (از جمله SIEM ها) ، فرآیندهای تحلیلگر خودکار و پاسخ هماهنگ کمک کنند.

آنها ابزارهای SOC را جمع می کنند و کار بین آنها را آسان تر می کنند. برای هر کسی که دسک تاپ تحلیلگر SOC را مشاهده کرده و تعداد برنامه ها را باز کرده است ، مزایای آن کاملاً مشهود است. با استفاده از خودکارسازی برخی از فعالیت ها ، SOAR می تواند بسیاری از کارهای پیش پا افتاده را که در غیر این صورت روز یک تحلیلگر را پر می کند ، مانند اجرای پیوست ها در یک منطقه امن برای بررسی بدافزار ، حذف کند. این می تواند وقت را برای بررسی هشدارهای پیچیده تر بدون نگرانی از قلم افتادن چیزی آزاد کند.

سرانجام ، ابزار SOAR اجازه می دهد تا فرایندهای پاسخگویی رسمی شوند ، بنابراین می توانید اطمینان داشته باشید که از آنها پیگیری می شود. البته همه این کارها را می توان با استفاده از ابزارهای دیگر انجام داد ، اما نمی توان از مزایای ادغام چشم پوشی کرد.

مدیریت هشدارها آسان تر است

سپس این فناوری می تواند مدیریت هشدارها را با بهره مندی از استفاده کارآمدتر از منابع SOC ، زمان پاسخگویی سریعتر و در نهایت امنیت بهتر ، مدیریت کند.

اگر فکر می کنید همه اینها بدان معناست که شما به یک بستر SOAR نیاز دارید ، ممکن است حق با شما باشد. اما باز هم ، دلایلی وجود دارد که ممکن است راه حل مناسبی برای شما نباشد.

اولین قدم برای تعیین اینکه آیا شما به SOAR نیاز دارید ، درک SOC و آنچه در حال حاضر دارید است. اگر تیم شما در تلاش برای کنترل حجم کار خود است ، SOAR می تواند مفید باشد. به همین ترتیب ، اگر SOAR قابلیت هایی را ارائه دهد که از قبل ندارید ، این می تواند محرک استفاده از آن باشد.

اما به یاد داشته باشید ، تعدادی ابزار مانند Sentinel مایکروسافت وجود دارد که فن آوری SIEM و SOAR را به یک پیشنهاد واحد تبدیل می کند و ممکن است در آینده متوجه شوید که SIEM شما دارای نقشه راهی برای قابلیت های SOAR است.

اگر تصمیم به استفاده از SOAR گرفتید ، توجه داشته باشید که اجرای موفقیت آمیز به همان اندازه که مربوط به افراد و مدل های عملیاتی است ، همان فناوری است. دستیابی به این مهارت مهارتهای متفاوتی از مهارتهای لازم برای اجرای SIEM را می طلبد.

طبق گفته گارتنر ، تا پایان سال 2022 ، 30٪ از سازمان های دارای تیم امنیتی بیش از 5 نفر از ابزار SOAR در عملیات امنیتی خود استفاده خواهند کرد ، در حالی که در سال 2019 کمتر از 5٪ است. اولاً ، رشد باورنکردنی در بخش را نشان می دهد. ثانیا ، به ما می گوید که اندازه گذاری مهم است زیرا تیم های کوچکتر ممکن است نتوانند سرمایه گذاری مورد نیاز را توجیه کنند.

در نهایت ، اگر تیم کوچکی داشته باشید و تعداد هشدارهای قابل مدیریتی داشته باشید ، احتمالاً نیازی به SOAR ندارید. اگر تیم شما بزرگتر است و اگر در نگه داشتن هشدارهایی که دریافت می کند مشکلی ندارد ، احتمالاً این کار را می کنید.

راسیکا سوماسیری کارشناس امنیت سایبری در شرکت مشاور PA است

[ad_2]

منبع: tadrisriazi-news.ir