响应安全相关事件所需的时间越长,该事件可能造成的损害就越大。减少此类损害以及停留时间的关键是能够快速确定与危害指标 (IOC) 相关的风险水平。评估和响应该风险的最快方法之一是利用安全编排、自动化和响应 (SOAR) 解决方案以及集成到您的工作流程中的威胁情报工具。
确定安全事件的严重性对于准确有效的响应至关重要。有许多不同的威胁情报工具可用,它们都提供有关与许多不同类型指标相关的风险级别的各种见解。在手动调查 IOC 时,这一事实既是福也是祸。一方面,能够评估来自多种不同工具的结果是获得广阔视野并查看是否存在与特定 IOC 相关的任何风险的绝佳方式。但很少有任何一种威胁情报工具拥有理想的信息集。例如,您多久使用 VirusTotal 扫描一个指标并让每个检测引擎就结果达成一致?另一方面,系统地查询每个工具所需的时间增加了响应时间的总长度。如果使用一种工具需要三分钟(打开工具/页面、登录、粘贴数据、复制结果、将数据粘贴到案例记录中等),那么使用三种不同的工具来获得更好的整体结果可能至少需要长三倍,或更长。
在没有 SOAR 解决方案的情况下执行这些步骤时,使用更多工具和获得更准确的整体结果的好处会被过程花费的时间以及每秒在响应过程中的重要性所抵消。SOAR 是两全其美的方式。将您的威胁情报工具与您的 SOAR 平台集成使您能够自动化丰富/查找过程并显着减少响应时间。SOAR 解决方案不仅可以以机器速度执行其他手动任务,安全自动化解决方案还可以有效地同时执行多项任务。
一旦您的 SOAR 解决方案与您的安全工具集成,在许多情况下,相同的过程可以缩短到不到一分钟。SOAR 可以同时将 IOC 发送到多个工具,并自动将结果带回记录中。SOAR 平台甚至可以根据结果提供处理建议。通过让 SOAR 工作流自动执行部分或全部响应和补救操作,可以节省更多时间。可以节省的时间靠这个简单的变化是惊人的。任何曾经是分析师并且必须执行这些任务的人都知道手动执行这些步骤所需的时间。您的团队使用了多少威胁情报工具?您最熟练的分析师根据您的标准工具评估单个 IOC 需要多长时间?现在将其与分析人员处理警报所需的时间进行比较,如果所有威胁情报查找均由 SOAR 解决方案执行并作为单一结果交付给分析人员。这会在您的响应过程中节省多少时间?如果每个警报节省的时间是 10 分钟,那么在一个八小时的轮班中,单个分析师可以节省多少时间? 有多少分析师?如果每天三班倒,每天节省多少小时?当您开始从这些方面考虑时,节省的时间(和成本)会迅速增加!
转载声明
本文翻译自:Reducing Response Times with SOAR-Integrated Threat Intelligence