SOAR – dyrygent w orkiestrze SOC-u

Home / Aktualności / SOAR – dyrygent w orkiestrze SOC-u

Jak wspominaliśmy w poprzednim artykule,  wartość SOAR polega na jego zdolności do łączenia i koordynowania różnych rozwiązań w zakresie cyberbezpieczeństwa i źródeł danych “pod jednym dachem” – w ramach istniejącej infrastruktury przedsiębiorstwa.  W naszej serii artykułów opieramy się o wnioski z raportu Palo Alto Networks – State of SOAR.


Badacze PAN, na podstawie zebranych danych wyróżniają cztery procesy odpowiedzi na incydenty:

  1.  Przyjęcie i “wzbogacenie” incydentu – czyli proces, za pomocą którego SOC gromadzi szczegółowe informacje o zdarzeniu naruszającym bezpieczeństwo i wzbogaca je o dane kontektstowe pozwalające lepiej zrozumieć, co się dzieje. Na przykład: jeśli atak można prześledzić do określonego CVE, proces wzbogacania może dodać szczegółowe informacje na temat CVE, systemy, na które ma wpływ, sposoby remediacji itp.
  2. Zarządzanie case’ami  – każdy incydent staje się (lub powinien się stać) sprawą, którą powinien zająć się SOC wraz z pozostałymi zespołami w organizacji, np: jako operacje IT, operacje sieciowe, prawne i zasoby ludzkie (HR).
  3. Badanie incydentów – analitycy bezpieczeństwa muszą zbadać incydent, aby określić najlepszy sposób reakcji i zapobiegania podobnym zdarzeniom w przyszłości. Na tym etapie przeprowadza się root cause analysis (coraz częściej przy pomocy systemów automatyzujących zbieranie danych).
  4. Reagowanie i egzekwowanie –  polega na wdrożeniu działań łagodzących określonych w procesie dochodzenia. Elementy te nakładają się na siebie i wzmacniają jeden drugi.  Narzędzia wspomagające proces zarządzania incydentami utrzymują porządek pracy i aktualizują wszystko według odpowiednich interesariuszy


SOAR poprawia kryteria sukcesu w każdym z tych obszarów – poprzez automatyzację – która notabene jest wiodącym trendem jeżeli chodzi o inicjatywy poprawiające postawę cyberbezpieczeństwa w przedsiębiorstwach. Według agencji analitycznej Gartner – „Pojawiające się technologie SOAR pozwalają wprowadzić automatyzację, spójność i wydajność dla zespołów SOC, wykraczając poza to, co jest obecnie możliwe w systemach typu SIEM.”

Wśród pracowników SOC-ów, na codzień używających technologii Security Orchestration Automation & Response, badanych przez Palo Alto Networks:
  • 54% przyznało, że SOAR zaoszczędził im czas podejmowanie działań w przypadku incydentów.
  • 51% wskazało na skrócenie czasu na remediacji incydentu.
  • 47% potwierdziło redukcję średniego czas do zamknięcia incydentu.
  •  44% skróciło czas segregacji zdarzeń bezpieczeństwa. Kolejne 37%.


i aż 79% mówi o całościowej poprawie procesów bezpieczeństwa po wdrożeniu SOAR. Wyniki te sugerują, że SOAR oferuje realne rozwiązanie dla wielu z wyzwań stojących obecnie przed zespołami SOC. Skracając czas potrzebny do zarządzania i rozwiązywania problemów i incydentów. SOAR przyczynia się do zmniejszenia stresu przy wysokim poziomie alertów i śledzeniu zbyt wielu źródeł zagrożeń.


Szybsza segregacja i bardziej produktywne zespoły SOC oznaczają możliwość skupienia się na incydentach krytycznych – i efektywne wykorzystanie wiedzy analityków – zasobu, o który w dzisiejszych czasach jest bardzo trudno!




Powiązane posty

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.