Demisto в Казахстане и Беларуси

Обзор возможностей Cortex XSOAR (Demisto SOAR)

Что такое SOAR-системы

SOAR является сокращением термина Security Orchestration, Automation, and Response, или оркестрация, автоматизация и реагирование на события безопасности. Это новый тип решений, который призван автоматизировать деятельность SOC-ов.

Что такое Cortex XSOAR (ранее Demisto)

Cortex XSOAR — это решение категории SOAR, комплексная платформа, которая объединяет оркестрацию плейбуков (сценариев реагирования на инциденты), управление инцидентами безопасности и интерактивные расследование для аналитиков SOC на протяжении всего жизненного цикла инцидента. 

С помощью Cortex XSOAR департаменты ИБ могут стандартизировать процессы, автоматизировать повторяющиеся задачи и управлять инцидентами в своем стеке продуктов безопасности, снижая время отклика на угрозу и повышая производительность аналитиков.

По сути, Cortex XSOAR — это «операционная система» для департаментов ИБ и SOC.

Причины создания Cortex XSOAR

В условиях постоянно меняющихся и сложных угроз сотрудники SOC сталкиваются с различными проблемами. Аналитики уровня 1 тонут в оповещениях и выполняют трудоемкие задачи, такие как отсеивание ложных срабатываний, принятие повторяющихся ответов и отслеживание предупреждений от разрозненных инструментов безопасности.

Аналитики уровня 3 сталкиваются с проблемой поиска контекстных игл в стогах сена. Им сложно скоординировать несколько продуктов безопасности, имеющихся в их распоряжении, наиболее эффективным способом. Среди этой рабочей нагрузки они не могут найти время, чтобы обучить младших аналитиков и привести их в курс дела.

Менеджеры SOC испытывают затруднения с количественной оценкой ROI, которую инструменты безопасности вносят в их SOC. Они также постоянно сталкиваются с давлением SLA из-за неполного отслеживания метрик и документации. Наконец, угроза разрыва в навыках аналитика всегда нависает над их головой; любой старший аналитик, покидающий организацию, может привести к фатальной потере опыта и сделать шаг назад для SOC.

Именно здесь на помощь приходит Cortex XSOAR — комплексная платформа обеспечения безопасности, автоматизации и реагирования (SOAR), которая сочетает в себе управление кейсами, интеллектуальную автоматизацию и оркестрацию, а также интерактивные расследования, помогая аналитикам на протяжении всего жизненного цикла инцидента.

Обзор возможностей Cortex XSOAR

Рассмотрим основные возможности Cortex XSOAR.

  • Настраиваемое управление кейсами: прием алертов из множества источников, централизованная очередь инцидентов, адаптированные схемы инцидентов с контролем доступа, сбором и ведением журналов доказательств, поддержка мобильных приложений
  • Интеллектуальная автоматизация и оркестрация: автоматические плейбуки обеспечивают участие конечных пользователей и аналитиков, высокую доступность и отказоустойчивость, взаимные корреляции
  • Интерактивные расследования: Ситуационная комната (war room) на базе ChatOps, набор инструментов для расследования связанных инцидентов, совместная работа аналитиков в режиме реального времени и передача кейсов между сменами

Комплексное управление кейсами

Управление кейсами в Demisto

Платформа Cortex XSOAR помогает вам управлять всеми аспектами жизненного цикла инцидента:

  • Прием оповещений из нескольких источников с централизованной очередью инцидентов и реагированием на основе playbook для каждого типа атаки.
  • Пользовательские типы инцидентов, упорядоченная классификация данных и сопоставление для централизованного мониторинга алертов.
  • Индивидуальные процессы для разных инцидентов, подстройка интерфейса с полным контролем доступа для каждого типа инцидентов и роли персонала.
  • Интуитивно понятный редактор play-and-drop для автоматизации и стандартизации процессов SOC.
  • Автоматическое документирование всех инцидентов и расследований для всестороннего отслеживания SLA.
  • Центральное хранилище индикаторов киберразведки, позволяющее осуществлять поиск и отслеживание угроз.
  • Мобильное приложение, предоставляющее персонализированные дашборды, списки задач и возможные действия при расследовании инцидентов.
  • Самоудаляющиеся агенты для ОС Windows / Mac / Linux для сбора данных с конечных точек.

Интеллектуальная автоматизация и оркестрация

Плейбук в Cortex XSOAR

Оркестрация Cortex XSOAR включает в себя идеальное взаимодействие между людьми, процессами и технологиями:

  • Сотни открытых и расширяемых интеграций с инструментами обогащения данных, источниками алертов, SIEM, МСЭ, EDR, песочницами, инструментами сбора форензики, системами обмена сообщениями и другими системами.
  • Динамические плейбуки, с привлечением аналитиков на этапах ручных действий и конечных пользователей в рамках почтовых оповещений и анализа сообщений электронной почты.
  • Гибкость для создания новых задач / блоков playbook и переноса их в другие плейбуки.
  • Живая визуализация playbook помогает в управлении задачами и устранения неполадок.
  • Рекомендации для связанных инцидентов и общих индикаторов по инцидентам.

Интерактивные расследования

Расследования в Demisto

Интерактивные функции расследования Cortex XSOAR помогают аналитикам продуктивно сотрудничать и становиться опытнее с каждым инцидентом:

  • Виртуальная «комната боев» с поддержкой ChatOps, где аналитики могут совместно работать в режиме реального времени и выполнять действия по обеспечению безопасности.
  • Инструментарий для расследования связанных инцидентов, который предоставляет настраиваемую карту связанных инцидентов во времени.
  • Внутренний бот безопасности (DBot), который помогает выполнять команды, предлагает аналитику и дальнейшие действия.
  • Сбор доказательств и автоматическое документирование с разметкой текста и заметками.

Машинное обучение на основе DBot

В дополнение к решению текущих неотложных проблем SOC, Cortex XSOAR также использует возможности машинного обучения на основе DBot, что позволяет системе действовать в качестве множителя силы SOC.

Рекомендации на основе ИИ присутствуют в тикетах, сопоставлении задач с подходящими аналитиками, ответных действиях и связанных инцидентах. Машинное обучение охватывает все три компонента: управление кейсами, интеллектуальную автоматизацию и оркестрацию, а также интерактивные расследования.

По мере того, как и DBot, и аналитики становятся опытнее с каждым инцидентом, время, необходимое для расследования угроз и реагирования на них, уменьшается.

Интеграции Cortex XSOAR

Ниже приведены некоторые готовы интеграции Cortex XSOAR.

Как протестировать Cortex XSOAR

Вы можете заказать демо и тестирование Cortex XSOAR в Тайгер Оптикс.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/