考虑购买安全安排、自动化和响应(SOAR)解决方案的公司往往担心他们现有的事件响应项目还不够成熟,可以实现具有自动化和安排功能的综合平台。如果几乎没有基础,从零开始似乎很困难,特别是当团队中没有事件响应或安全安排解决方案的经验时。
虽然每个人都不想在低效的过程中添加自动化,但如果旧的 *** 本身不够好,那么进一步巩固事件处理显然更不科学。
如果你想改善公司的安全运营,但不知道从哪里开始,以下步骤可能会帮助你准备搬迁SOAR平台。
1. 盘点当前运营状况
认为自己没有事件响应项目的公司各有道理。不管有没有,SOAR或者事件响应平台,每个公司都有一些 *** 来管理安全事件,即使它可能涉及许多即兴行动和临时过程。
准备实现SOAR在平台上,您可以花一些时间与公司利益相关者交谈,了解当前流程和这些流程的有效性(或无效性)。这应该包括工具清单:
- IT现有的信息安全基础设施有哪些?
- 有没有丰富数据操作的工具?
一旦你知道手头有哪些工具可用,你就可以将这些工具映射到事件响应的生命周期中,比如 NIST 800-61r2 标准中描述的,并确定公司目前还缺少什么。
接下来,查看公司遵循的事件响应过程或手册。查看安全运营中心(SOC)内部是如何合作的?如何与之合作?IT与其他团队合作,如数据隐私组织?公司如何在事件响应过程中保持法律合规和监督合规?公司团队如何管理当前常见的安全事件,如 *** 钓鱼或恶意软件?
如有可用的测量标准,请仔细检查,找出运行良好的部分和需要改进的地方。
- 检测并响应安全警报耗时多久?
- 哪些活动占据了安全分析师太多时间?
如果没有正式的指标,请询问安全分析师和经理,让他们给出自己的评估。
2. 找出最适合自己公司和提供这些功能的平台的功能
市场上有各种各样的东西SOAR平台,为了缩小你的选择,花一些时间来确认最重要的功能。自动化的之一个过程是什么?你的安全团队最困难的问题是什么?是否存在重复的安全事件、数据岛或过程瓶颈?你的分析师可以帮助你回答这些问题。
每个平台都有自己的安全操作重点。这些功能大致可分为以下几类:
- 报警管理:帮助SOC分拣、评估和关闭SIEM以及其他源系统的持续安全报警流。
- 分类:帮助分析师从威胁情报和历史事件记录等外部和内部来源中收集上下文信息。
- 事件响应:包括战术手册、任务管理、链接分析等功能,支持有效、可重复的响应工作流。
- 报告和分析:包括自动化或安排报告SOC指标,以及为不同用户角色定制仪表板的能力。
- 合规与跟踪:如审计跟踪、保管链和一般合规报告模板。
- 案例管理:包括对调查人员与其他团队合作的支持、相关事件的案例存储目录、指导调查流程和证据管理。
3. 尝试草拟战术手册
如何使用它SOAR平台有一个具体的感知,你可以尝试为你最重要的例子起草战术手册。然后,指出你认为可以通过自动化和安排来增强的步骤。
从供应商或行业机构处可以很容易获取在线战术手册样例,这些样例应能给你有关步骤上的参考。评估公司现有过程并问询公司分析师可以得到更有价值的信息,包括常见用例或重要用例。可以从你安全环境中最典型的用例开始应用,比如 *** 钓鱼、可疑数据泄露,或者恶意软件感染。
如果您没有任何正式的事件响应项目,则实现它SOAR解决方案、事件响应平台或任何其他重要的安全工具都将非常困难。然而,只要你遵循上述步骤,你就会对自己的情况有更好的了解,知道你想走的路线和你需要达到的效果。
【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。