全行业范围内,安全运营中心(SOC)正与工作过度、人手不足的团队、无法处理的警报以及越来越老练的坏角色作斗争。主导的思想一致认为,突破不是一个假设,而是何时的问题。
从知识产权到专有信息再到个人身份信息(PII),保护企业和政府的数据变得越来越关键和困难。那么,面对如此严峻的威胁形势,组织如何保护自己,甚至更好地在违规行为发生之前阻止它们呢?
安全编排、自动化和响应(SOAR)解决方案通过自动化耗时、繁琐的事件响应任务,同时协调组织的现有人员、流程和技术,优化了 SOC 的功能。
虽然 SOAR 解决方案旨在使 SOC 更容易使用,但您如何知道是否已准备就绪?我们的一些销售和专业服务工程师已经就您的团队是否准备好使用 SOAR 解决方案、您的团队应该采取哪些步骤以成功使用您的 SOAR 解决方案以及如果您尚未完全使用该解决方案该怎么办提供了见解。
您为 SOAR 做好准备的三种可能原因
1.您的团队正经历着警报疲劳,警报太多,没有足够的时间来鉴别分析所有的警报。随着这种疲劳感的出现,分析员的工作倦怠和离职,因此尽快解决这个问题是很重要的。
2.您当前的职位或团队不断复制和粘贴信息,并执行其他易于重复的任务,这些任务不需要大量分析或批判性思维来解决。
3.您已经为事件响应开发了图表、流程图和定义良好的流程。
使用 SOAR 解决方案取得成功需要采取的五个初始步骤
1.确定哪些定义的流程应自动化。
2.使用映射到 KPI 的清晰指标设定目标,平台将使您能够实现这些指标。
3.从小做起。寻找快速获胜,这通常包括那些平凡的,重复的任务,可以很容易地自动只需几个步骤。
4.选择该工作流,然后生成它。您将了解系统的细微差别,并对此更加熟悉。
5.开始构建更大、更复杂的行动手册,以自动化复杂的事件响应流程。
如果您还没有完全确定该怎么办
不管你是否准备好了,您依旧可能需要一个 SOAR 的解决方案。缺少关键要素(如已定义的事件响应过程)可能会造成障碍,但并非无法克服。正确的 SOAR 供应商应该能够让您克服这一点,并帮助您优化您的 SOC。
转载声明
本文翻译自 Ellyn Kirtley 的 How do you know if you’re ready for SOAR?,转载链接:https://swimlane.com/blog/ready-for-soar。如有侵权请联系 1912554098@qq.com