Cortex XSOAR: как повысить эффективность SOC

На первый взгляд, ключ к повышению эффективности SOC кажется простым: уменьшить время восстановления и время обнаружения инцидентов. Однако каким образом можно этого достичь? В этом материале автор статьи, Орхан Халилов, Sales Engineer, BAKOTECH, поможет отделам информационной безопасности понять основные проблемы сегодняшнего SOC и определить методы их устранения с помощью решения класса SOAR. В статье используются […]

The post Cortex XSOAR: как повысить эффективность SOC appeared first on InfoCity.

На первый взгляд, ключ к повышению эффективности SOC кажется простым: уменьшить время восстановления и время обнаружения инцидентов. Однако каким образом можно этого достичь?

В этом материале автор статьи, Орхан Халилов, Sales Engineer, BAKOTECH, поможет отделам информационной безопасности понять основные проблемы сегодняшнего SOC и определить методы их устранения с помощью решения класса SOAR.

В статье используются следующие сокращения и термины:

• SOC – Security Operation Center
• MTTR – Mean Time to Respond
• MTTD – Mean Time to Detect
• SOAR – Security Orchestration, Automation, and Response
• False-Positive – термин, означающий ложноположительные срабатывания.
• ИБ – информационная безопасность.
• TIM – Threat Intelligence Management
• Playbook – сценарий, позволяющий автоматизировать многие процессы обеспечения безопасности, такие как проведение расследований, управление тикетами.
• Incident Response (IR) – это процессы организации для обнаружения и реагирования на угрозы и нарушения кибербезопасности.

Что из себя представляет SOC? 

SOC, также известный как ЦИБ (Центр Информационной Безопасности) или ОЦИБ (Операционный Центр Информационной Безопасности), представляет собой систему, состоящую из трех ключевых компонентов: люди, процессы, технологии.

Эти три элемента формируют единый механизм, схожий с «автомобилем», который движется в определенном направлении. Если, предположим, у этого «автомобиля» возникает сбой в двигателе, коробке передач или происходит обычная поломка колеса, движение приостанавливается. То же самое происходит и с SOC, если хотя бы один из его основных компонентов функционирует некорректно, что влечет падение общей эффективности.

В современных условиях SOC обладает множеством утилит и решений, требующих экспертизы для эффективной работы с каждым из них. Как следствие, невозможно быть полностью знакомым с каждым решением или вендором на 100%.

Далее появляется проблема с большим количеством ложноположительных срабатываний, так как каждое решение генерирует свои собственные алерты и инциденты. В результате аналитикам SOC приходится тратить драгоценное время на разрешение ложных срабатываний.

Если к этому прибавить отсутствие четко определенных процессов и процедур, эффективность SOC снижается до минимума.

С проблемами могут справиться решения класса SOAR

Чтобы понять, как работают решения класса SOAR, рассмотрим пример развертывания Cortex XSOAR (Extended Security Orchestration, Automation, and Response) от Palo Alto Networks.

SOAR-решения используются в роли централизатора и оркестратора для других решений в ИБ. XSOAR — это система, которая может сама:

• Решать инциденты.
• Различать ложноположительные срабатывания от действительно реальных кибератак.
• Применять нужные конфигурации в NGFW, EDR/XDR, DLP решениях.
• Задокументировать инцидент и уведомить пользователя/его менеджера/SOC-аналитика о его закрытии.

Пример развертывания XSOAR

В следующем примере рассмотрим, как развертывание XSOAR выглядит архитектурно и на практике:

Для самого простого варианта развертывания потребуется всего одна виртуальная машина под операционной системой Linux (в данном примере используется Ubuntu), в которой можно установить Server и Engine — основные компоненты Cortex XSOAR.

Архитектура данного решения предоставляет возможность легко интегрироваться с различными инфраструктурами, даже в случае их полной изоляции от внешнего мира. Достаточно просто запустить готовый скрипт-установщик, который автоматически развернет основные компоненты. Если вам нужны более подробные указания по установке и настройке данного решения, вы можете обратиться к автору через личные сообщения.

В решении есть преднастроенные дашборды, но их можно также полностью кастомизировать под любые задачи. Вот несколько примеров:

В Cortex XSOAR Marketplace есть свыше 800 интеграций с различными вендорами и решениями, что является одним из его главных преимуществ. Интеграции очень простые и в самой системе есть готовые step-by-step гайды по каждой из них.

Пример интеграции с песочницей Wildfire от Palo Alto Networks:

Каждый контент пак содержит в себе как интеграцию, так и готовые плейбуки:

Есть также встроенный TIM:

Автоматизация выполнена за счет скриптов в формате Python, Javascript, Powershell. Есть встроенный “помощник” для пользователей, которые умеют только читать код.Так выглядит Playbook:

Это был поверхностный обзор. Далее перейдем к реальному примеру.

В тестовой среде выполнена интеграция с Palo Alto Networks NGFW, Cortex XDR (еще одно решение из линейки Cortex), из которых приходят инциденты и алерты, и песочницей Wildfire.

В Cortex XSOAR есть удобный функционал для тестирования отработки Playbook. Это встроенная утилита для генерации рандомных инцидентов.

Для примера сгенерирован инцидент в Cortex XDR. Давайте посмотрим, как Cortex XSOAR отработал этот инцидент.

Перейдя в сам инцидент, мы увидим, что через консоль XSOAR можно во время расследования уже совершить какое-либо действие над конечной станцией. Например, изолировать ее.

Переходим в следующие вкладки.

Ниже видим, что Cortex XSOAR автоматически применил и запустил Playbook.

Он выдает вердикт на основе данных, полученных из полного анализа и расследования, а также применяет реагирование, где это нужно.

Инцидент был проработан, закрыт и задокументирован в базу.

Инцидент можно переоткрыть в любое время и продолжить расследование, если в этом есть необходимость.

Выводы

Давайте суммируем, какие выгоды предоставляет решение Cortex XSOAR для оптимизации работы SOC:

1. Cortex XSOAR предлагает инструменты для автоматизации и оркестрации, что снижает нагрузку на аналитиков и ускоряет время реагирования на инциденты. Это не только повышает эффективность, но также позволяет сосредотачиваться на более сложных задачах, требующих человеческого вмешательства.

2. Важным аспектом Cortex XSOAR является его способность интегрироваться с различными источниками данных и инструментами безопасности. Это создает единую платформу для анализа и реагирования на угрозы, устраняя изолированные острова информации и повышая целостность системы безопасности.

3. Cortex XSOAR охватывает полный цикл реагирования на инциденты, начиная с обнаружения и анализа, и заканчивая реагированием и предотвращением будущих инцидентов. Это способствует не только эффективному управлению текущими угрозами, но и улучшению стратегий предотвращения.

4. Внедрение Cortex XSOAR не только улучшает операционные процессы SOC, но также создает устойчивую и гибкую инфраструктуру для борьбы с постоянно развивающимися киберугрозами. Это вложение в безопасность, которое приносит значительные результаты в виде улучшенной производительности и защиты данных.

С учетом этих преимуществ Cortex XSOAR становится неотъемлемой частью современного SOC, помогая организациям достигать новых уровней информационной безопасности.

Для дополнительных вопросов и демо вы можете обратиться по адресу pan@bakotech.com.

The post Cortex XSOAR: как повысить эффективность SOC appeared first on InfoCity.