Data Insider

Was ist SOAR?

Was ist SOAR?

SOAR-Technologien (Security Orchestration, Automation and Response) ermöglichen es Unternehmen, Sicherheits-Incidents von einer einzigen Oberfläche aus effizient zu beobachten, zu verstehen und entsprechende Entscheidungen und Handlungen durchzuführen.

Der Begriff wurde ursprünglich von Gartner geprägt und bezeichnete die Zusammenführung von Sicherheitsorchestrierung und -automatisierung, Security Incident Response Plattformen (SIRP) und Threat Intelligence Plattformen (TIP). Die Abkürzungen sind vielleicht etwas verwirrend: SOAR wird manchmal auch als SA&O abgekürzt, obwohl eine echte SOAR-Plattform über schlichte Sicherheitsautomatisierung (SA) sowie Sicherheitsautomatisierung und -orchestrierung (SA&O) hinausgeht, da sie auch den kompletten Funktionsumfang von Incident Response-Möglichkeiten beinhaltet.

SOAR ist gerade dabei, den Sicherheitsbetrieb zu revolutionieren, insbesondere die Art und Weise, wie Cyber Security-Teams Warnmeldungen und Bedrohungen verwalten, analysieren und darauf reagieren. Ohne Sicherheitsautomatisierung müssen sich Security-Analysten manuell um immer mehr Cyberangriffe kümmern, die von immer raffinierteren Angreifern ausgehen.

Sicherheitsanalysten sind für die Auswertung Tausender (manchmal sogar Millionen) Benachrichtigungen und Warnmeldungen verantwortlich. Sie müssen also entscheiden, welche Benachrichtigungen ernst zu nehmen sind und Maßnahmen erfordern und welche ignoriert werden können. Incident Response und Incident Recovery können Tage und mehr in Anspruch nehmen – und das auch nur, wenn Sie über qualifizierte Mitarbeiter in ausreichender Zahl verfügen. Global gesehen herrscht in der Branche ein gravierender Mangel an Fachkräften für Cybersicherheit.

Angesichts dieser Faktoren leidet Ihr Security-Team mit ziemlicher Sicherheit unter Over-Alerting. Dies kann dazu führen, dass Mitarbeiter möglicherweise echte Bedrohungen übersehen und ungeheuer viele Fehler machen, wenn sie versuchen, Probleme schnell und spontan zu lösen.

Die Lösung lautet hier SOAR. Kurz gesagt, nehmen SOAR-Plattformen Ihren Sicherheitsadministratoren durch Automatisierung monotone Routineaufgaben ab und bieten ihnen zudem durch die Orchestrierung über Sicherheitsinfrastrukturen hinweg die Möglichkeit, die Produktivität zu steigern. Mit SOAR können Security-Teams mehr Incidents bearbeiten, die wichtigsten Probleme genauer untersuchen und das Sicherheitsniveau Ihres Unternehmens insgesamt auf breiter Front verbessern.

In diesem Artikel behandeln wir die verschiedenen Komponenten von SOAR, einschließlich der Sicherheitsautomatisierung und -orchestrierung sowie ihre Unterschiede. Darüber hinaus befassen wir uns mit den Fragen, warum SOAR für Unternehmen wichtig ist und wie Sie Ihre SOAR-Lösung optimal nutzen.

Analystenbericht | Splunk auf Platz 1 im Gartner Magic Quadrant für SIEM

SOAR im Überblick

Was ist Sicherheitsautomatisierung (Security Automation)?

Als Sicherheitsautomatisierung (SA) bezeichnet man die maschinen-basierte Ausführung von Sicherheitsmaßnahmen mit der Möglichkeit, Cyberbedrohungen programmgesteuert, ohne Eingriff des Menschen zu erkennen, zu untersuchen und zu beheben.

Die SA übernimmt einen Großteil der Arbeit Ihres Security-Teams, sodass es nicht mehr jede eingehende Benachrichtigung manuell beurteilen und behandeln muss. Die Sicherheitsautomatisierung kann für folgende Aufgaben eingesetzt werden:

  • Erkennen von Bedrohungen in Ihrer Umgebung
  • Sichten potenzieller Bedrohungen durch Abarbeiten der Schritte, Anweisungen und Entscheidungs-Workflows, die Sicherheitsanalysten nutzen, um ein Event zu untersuchen und festzustellen, ob es sich um einen legitimen Incident handelt
  • Entscheiden, ob Maßnahmen im Zusammenhang mit dem Incident ergriffen werden
  • Eindämmen und Beheben des Problems

All dies erfolgt in Sekundenschnelle, ohne jegliches Zutun des Menschen. Wiederkehrende, zeitraubende Aufgaben werden den Sicherheitsanalysten abgenommen, sodass sie sich auf wichtigere, wertschöpfende Arbeit konzentrieren können.

soar

Was ist Sicherheitsorchestrierung (Security Orchestration)?

Als Security Orchestration bzw. Sicherheitsorchestrierung (SO) bezeichnet man die maschinen-basierte Koordination einer Reihe voneinander abhängiger Sicherheitsmaßnahmen innerhalb einer komplexen Infrastruktur. Die Sicherheitsorchestrierung gewährleistet, dass alle Ihre Security-Tools – und auch nicht sicherheitsbezogene Tools – bei der Automatisierung von Aufgaben über Produkte und Workflows hinweg zusammenarbeiten.

SO koordiniert die Untersuchung, Reaktion auf und letztendlich die Behebung von Incidents. Außerdem wird Sicherheitsanalysten die Arbeit erleichtert, da sie nicht mehr zwischen mehreren Bildschirmen und Systemen hin und her wechseln müssen, weil die Sicherheitsorchestrierung alles zentral zusammenführt und auf einem einzigen Dashboard anzeigt.

Die Sicherheitsorchestrierung kann für folgende Aufgaben eingesetzt werden:

  • Bereitstellen von Kontext zu Sicherheits-Incidents: Ein Sicherheitsorchestrierungs-Tool aggregiert Daten aus unterschiedlichen Quellen, um tiefergehende Erkenntnisse bereitzustellen. Sie erhalten dadurch eine umfassende Sicht auf die Gesamtumgebung.
  • Ermöglichen tiefgreifenderer, aussagekräftigerer Untersuchungen: Sicherheitsanalysten müssen sich nicht mehr mit der Verwaltung von Benachrichtigungen befassen und können sich der Untersuchung der Incident-Ursachen zuwenden. Darüber hinaus bieten Sicherheitsorchestrierungs-Tools meist höchst interaktiv angelegte, intuitive Dashboards, Graphen und Zeitachsen, und diese Visualisierungen erweisen sich beim Untersuchen von Incidents oftmals als sehr hilfreich.
  • Verbessern der Zusammenarbeit: Bei bestimmten Arten von Sicherheits-Incidents müssen eventuell weitere Personen hinzugezogen werden, beispielsweise Analysten anderer Ebenen, Führungskräfte, der CTO und Mitglieder der Geschäftsführung sowie Teams aus der Rechts- oder Personalabteilung. Mithilfe der Sicherheitsorchestrierung können sämtlichen Beteiligten alle nötigen Daten zugänglich gemacht werden. Dies macht die Zusammenarbeit sowie die Problemlösung und -behebung deutlich effektiver.

Letztlich steigert die Orchestrierung die Integration Ihrer Verteidigungskräfte und ermöglicht Ihrem Security-Team, komplexe Prozesse zu automatisieren und maximalen Mehrwert aus Security-Fachkräften, Prozessen und Tools zu ziehen.

Was sind mögliche Use Cases für SOAR?

Bevor Sie sich mit Anbietern über SOAR-Plattformen unterhalten, sollten Sie sich unbedingt überlegen, wie Ihr Unternehmen eine solche Lösung nutzen wird. Use Cases sollten Ihre größten Pain Points widerspiegeln und aufzeigen, wie Sie maximal von der Technologie profitieren.

Typische Anwendungsbeispiele sind stark branchenabhängig. Die folgenden Beispiele sollen Ihnen Ansatzpunkte für einen möglichen Einsatz von SOAR in Ihrem Unternehmen geben.

  1. Abwehr von Cyberangriffen mit automatischer Incident Response: Art und Ausprägung von Security-Incidents können variieren und manche Branchen sind stärker betroffen als andere. Während beispielsweise Phishing-Angriffe ganz allgemein zunehmen, stieg die Anzahl solcher Attacken speziell im Gesundheitswesen sprunghaft an, wobei der Hauptzweck der Angriffe darin lag, Anmeldeinformationen für den Zugriff auf Krankenhausdatenbanken zu stehlen.

    Der Einzelhandel kämpft dagegen mit Ransomware-Angriffen in bisher unerreichtem Maß und in der Industrie ist zu beobachten, dass immer häufiger Schwachstellen bei Steuerungsnetzwerken in Fabrikhallen von Hackern ausgenutzt werden.

    SOAR-Plattformen können den Ursprung solcher Angriffe automatisch aufdecken und untersuchen. SOAR-Lösungen könnten zum Beispiel eine verdächtige Phishing-E-Mail erkennen und verfolgen, im Netzwerk nach weiteren Kopien der E-Mail suchen und diese isolieren oder löschen sowie IP-Adressen und URLs blockieren, um zu verhindern, dass diese bösartigen E-Mails den Posteingang einer anderen Person erreichen.

    Darüber hinaus könnten sie Bedrohungen eindämmen, bevor vertrauliche Daten an Angreifer weitergegeben werden, und damit die Reaktionszeiten von Stunden auf Minuten verkürzen.
  2. Bedrohungssuche: Da sich Security-Teams tagtäglich stundenlang mit einer Flut von Warnmeldungen befassen, bleibt meist keine Zeit für die Suche nach Bedrohungen, deren Untersuchung und die strategische Planung langfristiger Verbesserungen. Automatisierungslösungen wehren viele der aufgetretenen bösartigen Bedrohungen sofort ab, sodass Sicherheitsteams Zeit haben, sich Projekten zur Verbesserung der allgemeinen Sicherheit im gesamten Netzwerk zuzuwenden.

    Aus der Finanzbranche wird beispielsweise berichtet, dass jedes einzelne Unternehmen etwa 2.000 Angriffe pro Minute verzeichnet und sich die Zahl der Sicherheitsverletzungen und Diebstähle sensibler Daten in der letzten fünf Jahren verdreifacht hat. Mithilfe von Automatisierung könnten viele dieser Angriffe sofort abgewehrt werden, was wiederum Sicherheitsanalysten die notwendige Zeit gibt, Schwachstellen zu schließen und Hackern den Zugriff auf vertrauliche Informationen zu erschweren.
  3. Penetrationstests: Fast 40 % der Unternehmen führen Penetrationstests nur unregelmäßig oder gar nicht durch. Dies ergab eine 2019 von eSecurity Planets durchgeführte Umfrage zum Status der IT-Sicherheit. Mit SOAR-Plattformen können Aktivitäten wie Asset-Erkennung, Klassifizierung und Zielpriorisierung automatisiert werden. Dies gibt Security-Teams die Möglichkeit, Penetrationstests zu operationalisieren.
  4. Optimieren des allgemeinen Schwachstellenmanagements: Eine SOAR-Lösung kann sicherstellen, dass das Security-Team Risiken, die durch neue, in Ihrer Umgebung entdeckte Schwachstellen entstehen, sichtet und angemessen verwaltet. Das Security-Team kann dann proaktiv handeln, automatisch mehr Informationen über Schwachstellen sammeln, diese gründlich untersuchen und gleichzeitig Maßnahmen zur Abwehr von Sicherheitsverletzungen oder anderen Angriffen ergreifen.

Was ist der Unterschied zwischen Automatisierung und Orchestrierung?

Bei der Sicherheitsautomatisierung geht es darum, Ihren Sicherheitsbetrieb einfacher und effizienter zu gestalten, während die Sicherheitsorchestrierung Ihre verschiedenen Security-Tools miteinander verbindet, damit sie ineinandergreifen und verzahnt arbeiten.

Die Begriffe Sicherheitsautomatisierung und Sicherheitsorchestrierung werden häufig synonym verwendet, doch die beiden Plattformen haben in Wirklichkeit sehr unterschiedliche Funktionen. Unter anderem verkürzt die Sicherheitsautomatisierung die Zeit, die für die Erkennung und Reaktion auf sich wiederholende Incidents und False Positive-Meldungen nötig ist, sodass Warnmeldungen nicht zu lange unbehandelt bleiben. Außerdem nimmt sie Sicherheitsanalysten monotone Arbeiten ab, sodass sie sich auf strategische Aufgaben wie investigative Recherchen konzentrieren können. Die Sicherheitsautomatisierung unterliegt dabei jedoch gewissen Einschränkungen, da jedes Playbook ein bekanntes Szenario mit einer vorgeschriebenen Vorgehensweise behandelt.

Die Sicherheitsorchestrierung erleichtert Ihnen dagegen den einfachen Informationsaustausch und ermöglicht mehreren Tools, als Gruppe auf Incidents zu reagieren, selbst wenn die Daten über ein großes Netzwerk und mehrere Systeme oder Geräte verteilt sind. Die Sicherheitsorchestrierung nutzt mehrere automatisierte Aufgaben, um einen vollständigen, komplexen Prozess oder Workflow auszuführen.

Alles in allem lässt sich sagen, dass es bei der Sicherheitsautomatisierung um eine Reihe von Einzelaufgaben geht, während die Sicherheitsorchestrierung den Prozess von Anfang bis Ende verzahnt und beschleunigt. Die beiden Ansätze werden am besten zusammen eingesetztmit dieser Kombination können Security-Teams ihre Effizienz und Produktivität maximieren.

Worin unterscheiden sich SOAR und SIEM?

Die meisten SOAR-Lösungen werden zwar parallel zu SIEM-Systemen (Security Information and Event Management) eingesetzt, sind jedoch nicht dasselbe.

Als SIEM bezeichnet man ein Security-Management-System, das volle Sichtbarkeit und Transparenz zu Aktivitäten innerhalb Ihres Netzwerks bietet und Sie dadurch in die Lage versetzt, Bedrohungen in Echtzeit zu erkennen. Es sammelt, analysiert und kategorisiert in Sekundenschnelle systemrelevante Daten aus einer Vielzahl von Quellen. Dann analysiert es die Daten, um speziell zu ungewöhnlichem Verhalten Erkenntnisse bereitzustellen, damit Sie entsprechend agieren können.

Genau wie eine SOAR-Lösung erledigt auch ein SIEM-System Arbeiten, die manuell nicht zu bewältigen wären. Und genau wie eine SOAR-Lösung aggregiert auch ein SIEM-System Event-Daten aus verschiedenen Datenquellen innerhalb Ihrer Netzwerkinfrastruktur, einschließlich Servern, Systemen, Geräten und Anwendungen, vom Perimeter bis zum End User. Im Gegensatz zu einer SOAR-Plattform dient eine SIEM-Lösung jedoch als Repository für Ihre Sicherheitsdaten und bietet Möglichkeiten, sämtliche verfügbaren Daten effizient zu durchsuchen, zu korrelieren und zu analysieren.

In diesem Zusammenhang sollte erwähnt werden, dass aufgrund der Tatsache, dass sich SIEM- und SOAR-Plattformen ergänzen, viele Anbieter beide Arten von Lösungen führen und die beiden letztendlich vielleicht sogar in einer Plattform zusammengeführt werden.

Warum ist SOAR so wichtig?

Wahrscheinlich ertrinkt auch Ihr Security-Team in der sprichwörtlichen Flut von Warnmeldungen, von denen viele False Positive-Meldungen und Wiederholungen bereits zuvor beobachteter Entwicklungen sind. Im Durchschnitt muss sich ein Security-Team mit mehr als 175.000 Warnmeldungen pro Woche beschäftigen. In dieser Unmenge von Benachrichtigungen verbergen sich sehr reale Bedrohungen, von denen viele völlig unbemerkt bleiben, wenn Sicherheitsanalysten jede einzelne Warnmeldung manuell bearbeiten müssen.

Hier kann SOAR-Technologie einen Riesenunterschied machen, indem sie viele dieser sich wiederholenden, monotonen Aktivitäten übernimmt, sodass sich Ihr Security-Team auf wichtigere Aufgaben konzentrieren kann.

SOAR ermöglicht Ihnen Folgendes:

  • Integrieren von Security-, IT Operations- und Threat Intelligence-Tools: Sie können all Ihre verschiedenen Sicherheitslösungen – und sogar Tools von unterschiedlichen Anbietern – miteinander verbinden, um Daten in größerem Maßstab zu erfassen und zu analysieren. Security-Teams müssen dann nicht mehr zwischen einer Vielzahl verschiedener Konsolen und Tools hin und her wechseln.
  • Zentrale Sicht auf alle Informationen: Ihr Sicherheitsteam erhält Zugriff auf eine einzelne Konsole, die alle Informationen bereitstellt, die das Team zur Untersuchung und Behebung von Incidents benötigt. An dieser zentralen Stelle finden Sicherheitsteams dann alle nötigen Informationen.
  • Beschleunigte Incident Response: SOAR-Plattformen senken erwiesenermaßen die MTTD (Mean-Time-To-Detect) und die MTTR (Mean-Time-To-Resolution). Da viele Aktivitäten automatisiert werden, kann ein Großteil der Incidents sofort und automatisch bearbeitet werden.
  • Verhindern zeitaufwändiger Arbeiten: SOAR-Systeme bewirken eine drastische Reduzierung von False Positive-Benachrichtigungen, sich wiederholenden Aufgaben und manuellen Prozessen, die Sicherheitsanalysten Zeit rauben.
  • Zugriff auf bessere Informationen: SOAR-Lösungen aggregieren und validieren Daten von Threat Intelligence-Plattformen, Firewalls, IDS (Intrusion Detection System), SIEM und anderen Technologien und bieten Ihrem Sicherheitsteam damit mehr Einblick und Kontext. Dies macht es leichter, Probleme zu beheben und die Abläufe zu verbessern. Außerdem können Analysten so tiefgreifendere, breiter angelegte Untersuchungen besser durchführen, wenn Probleme auftreten.
  • Verbessern von Berichten und Kommunikation: Da alle Security Operations-Aktivitäten zentral aggregiert und in intuitiven Dashboards dargestellt werden, haben die Beteiligten Zugriff auf alle nötigen Informationen, einschließlich klarer Metriken, anhand derer sie erkennen, wie sich Workflows verbessern und Reaktionszeiten verkürzen lassen.
  • Verbessern der Entscheidungsfähigkeit: Da SOAR-Plattformen Funktionen wie vordefinierte Playbooks, Drag & Drop-Funktionen für die Erstellung völlig neuer Playbooks und automatische Priorisierung von Warnmeldungen bieten können, versuchen sie, möglichst benutzerfreundlich zu sein, damit sie auch von weniger erfahrenen Sicherheitsanalysten genutzt werden können. Zudem kann ein SOAR-Tool Daten sammeln und Erkenntnisse bieten, die es Analysten erleichtern, Incidents zu bewerten und die richtigen Maßnahmen für ihre Behebung zu ergreifen.

Erste Schritte

Wie nutzen Sie SOAR optimal?

Wie bei allen Security-Tools liegt der wahre Nutzen von SOAR darin, wie Sie die Plattform einsetzen. Genauso wichtig sind jedoch die Schritte, die Sie vor der Bereitstellung des Tools unternehmen. Folgen Sie diesen bewährten Verfahren, um den größtmöglichen Nutzen aus Ihrer Investition in eine SOAR-Plattform zu ziehen:

  1. Setzen Sie Prioritäten: Am besten beurteilen Sie zuerst, wo die Automatisierung speziell in Ihrem Unternehmen wirkungsvoll eingesetzt werden kann, und priorisieren anschließend diese Anwendungsfälle. Verschaffen Sie sich einen Überblick und stellen Sie fest, welche Incidents am häufigsten auftreten und bei welchen Incidents die Untersuchung und Behebung am längsten dauert. Definieren Sie dann Ihre Use Cases auf der Basis Ihrer branchenspezifischen und unternehmerischen Ziele und erstellen Sie eine Liste zur geplanten Nutzung von SOAR. Beziehen Sie beim Erarbeiten der Anwendungsfälle alle Beteiligten des Security Operations-Teams ein, selbst wenn Sie wahrscheinlich nicht alle Use Cases sofort umsetzen werden. Wenn Sie sich bei der Suche nach Lösungsanbietern an diesen Prioritäten orientieren, können Sie sicherstellen, dass die gewählte Plattform Ihnen auch langfristig gute Dienste leisten wird.
  2. Entwickeln Sie Ihre Playbooks: Die Schritte, Anweisungen und Best Practices für die effektive Behebung von Incidents müssen unbedingt dokumentiert werden, um sicherzustellen, dass Ihr Security-Team jedes Mal einem konsistenten, wiederholbaren Prozess folgt. Erstellen Sie eine Prioritätenliste für die Entwicklung von Playbooks und setzen Sie dabei die Playbooks ganz oben auf die Liste, die die sich wiederholenden Aufgaben erledigen, mit denen Ihr Team am meisten Zeit verschwendet.
  3. Machen Sie eine Bestandsaufnahme Ihrer Tools, Anwendungen und APIs: Stellen Sie unbedingt sicher, dass der gewählte Anbieter alle Tools unterstützt, die Sie derzeit verwenden. Überprüfen Sie dabei gleichzeitig den Nutzen, den diese Tools für Sie haben. Denn Sie wissen ja: Ein SOAR-Produkt ist nur so gut, wie die Informationen, mit denen Sie es füttern. Überlegen Sie sich also, ob Sie vor der Bereitstellung einer SOAR-Lösung andere Komponenten Ihrer Sicherheitsinfrastruktur aktualisieren sollten.
  4. Schulen Sie Ihre Mitarbeiter: Sie müssen Mitarbeiter nicht nur für den effektiven Einsatz der Sicherheitsautomatisierungs-Software schulen, sondern auch für die Behandlung komplexer Incidents, die die Software nicht beheben kann. Wenn Warnmeldungen aufkommen, die menschliches Eingreifen erfordern, müssen Ihre Mitarbeiter über das Fachwissen und das Selbstvertrauen verfügen, diese Probleme anzugehen.
  5. Machen Sie sich die eingesparte Zeit zunutze: Die Automatisierung macht Security-Teams produktiver und eröffnet ihnen Möglichkeiten, mehr für das Unternehmen zu tun. Planen Sie, welchen wertschöpfenden Aufgaben sich Ihre Analysten verstärkt widmen können, von denen Ihr Unternehmen profitiert – zum Beispiel die Durchführung einer gründlichen Untersuchung der Frage, warum Sie ständig Phishing-Angriffe abwehren müssen. Darüber hinaus schafft die Automatisierung neue Rollen innerhalb des Unternehmens. Nutzen Sie also die neu verfügbare Zeit, um ein Modell zur kontinuierlichen Verbesserung zu entwickeln und die Mitarbeiter in der Entwicklung, Implementierung und Verbesserung der Automatisierungslogik zu schulen.
  6. Erwarten Sie keine Wunder: Versuchen Sie nicht, gleich von Anfang an jede SOAR-Funktion einzusetzen. Es ist mit Sicherheit sinnvoller, mit kleinen Schritten zu beginnen. Konzentrieren Sie sich zu Beginn einfach auf die kritischen Bereiche und erweitern Sie die Komplexität im Lauf der Zeit. Das hilft Ihnen, ohne große Startschwierigkeiten nach und nach das volle Potenzial der Plattform auszuschöpfen.

Was sind die ersten Schritte zum Einstieg in SOAR?

Wenn Sie die nötigen Vorbereitungen getroffen haben, um mithilfe einer SOAR-Lösung den Sicherheitsbetrieb Ihres Unternehmens zu verbessern, geht es nun an die Wahl des geeigneten SOAR-Tools. Dabei sollten Sie auf folgende Merkmale achten:

  • Leicht zu erfassende Berichte: Sie sollten Ihre Event-Daten und Security Operations-Tools zusammen in einer einzigen, konsolidierten Ansicht visualisieren können. Mithilfe dieser Übersicht können Sie sich schnell ein Bild von den Abläufen innerhalb des Netzwerks machen, Probleme untersuchen und entscheiden, was als Nächstes zu tun ist.
  • Änderbare Dashboards: Sie sollten Daten in dem Format anzeigen können, das am besten zu den Anforderungen Ihres Unternehmens passt.
  • Automatische Warteschlangenfunktion und Priorisierung von Warnmeldungen: Im Wesentlichen möchten Sie ohne langes Suchen wissen, welche Aufgaben am dringendsten und sofort bearbeitet werden sollten.
  • Strukturiert angeordnete Details zu Warnmeldungen: Daten wie IP-Adressen, Domänennamen, Datei-Hashes, Benutzernamen, E-Mail-Adressen und andere relevante Daten sollten so angeordnet werden, dass Sicherheitsanalysten sie sofort erfassen können.
  • Flexible, einfache Playbook-Erstellung und -Verwaltung: Im Idealfall können Sie mit der Plattform Playbooks erstellen, ohne Code programmieren zu müssen. Suchen Sie eine Lösung, die integrierte Playbooks enthält, Ihnen aber auch die Möglichkeit bietet, Playbooks mit einem Playbook-Editor anzupassen oder ganz neu zu erstellen. Außerdem sollte es möglich sein, Playbooks nach unternehmensspezifischen Kriterien zu organisieren und zu gruppieren.
  • Integration mit Tools, die für den Geschäftsbetrieb eingesetzt werden: Hierzu gehören Sicherheits- und Infrastrukturkomponenten wie Firewalls, Endgeräte, Reputationsservices, Sandbox-Umgebungen, Directory-Services und SIEMs.
  • Integrierte Unterstützung: Manche Plattformen verfügen über intelligente Assistenten, die in die Oberfläche integriert sind und Vorschläge zur Untersuchung, Eindämmung, Entfernung oder sogar Behebung eines Incidents anbieten. Eine solche Funktion ist besonders für unerfahrene Sicherheitsanalysten wertvoll.
  • Skalierbarkeit: Natürlich benötigen Sie eine Plattform, die in ihrem Funktionsumfang mit Ihrem Unternehmen mitwächst.

Fazit

SOAR kann Ihre Security Operations optimieren

Sie haben die Chance, Ihrem Security-Team das Unmögliche zu ermöglichen: die endlose Flut von Sicherheitswarnmeldungen in den Griff zu bekommen, die mit komplexen IT-Umgebungen einhergeht. Die SOAR-Technologie übernimmt das Handling von False Positive-Meldungen, sich wiederholenden Warnmeldungen und harmlosen Warnmeldungen und ermöglicht Ihnen dadurch den Wechsel von einem reaktiven Ansatz zu einer proaktiven Vorgehensweise. Anstatt sich an vielen kleinen Problemen aufzureiben, können Ihre Sicherheitsanalysten ihr Wissen und ihr umfangreiches Training besser einsetzen und letztlich das allgemeine Sicherheitsniveau Ihres Unternehmens verbessern.