O Modelo de Maturidade de Adoção SOAR
Com o Splunk SOAR Modelo de Maturidade de Adoção, pode implementar uma solução de orquestração de segurança, automação e resposta (SOAR) no seu ambiente de TI; obter uma maior compreensão do nível de maturidade da sua organização; e estabelecer uma abordagem faseada para o avanço. Ao compreender onde a sua organização está dentro das diferentes fases da curva de maturidade, poderá identificar os casos de utilização, playbooks e fluxos de trabalho mais relevantes para as suas necessidades de segurança. Isso proporcionará uma melhor compreensão do seu roteiro de segurança e — melhor ainda — como colher os frutos do SOAR.
Se é novo Splunk SOAR cliente, ver Começar com Splunk SOAR antes de ler este guia. Depois de ter Splunk SOAR em execução no seu ambiente, volte a este Modelo de Maturidade de Adoção.
Cada SOC é uma mistura de pessoas, processos e tecnologias — mas há muitos pontos em comum para informar cada estágio da sua evolução. Avalie os seguintes fatores na sua organização antes de clicar no Modelo de Maturidade de Adoção SOAR.
Fatores de pessoas
O elemento humano é normalmente a maior fonte de frustração para as equipas de segurança, em grande parte devido à falta de talento e pessoal, bem como ao erro humano. Independentemente disso, os analistas de
segurança são necessários para implementar, gerir e operar o SOAR. Avalie se os seus analistas têm o seguinte:
- Competências para apoiar investigações de segurança
- Capacidade de avaliar o risco para o seu ambiente
- Capacidade de bloquear e remover riscos identificados
Tem funções claramente definidas nas funções SOC, como analistas de segurança, engenheiros de segurança, caçadores de ameaças, analistas forenses/de malware, analistas de inteligência de ameaças e equipas roxas? Avalie se estas funções têm o seguinte:
- Capacidade de captar e relatar métricas SOC
- Requisitos para suporte e ajuda na implementação do SOAR
- Capacidade de encontrar e utilizar conteúdos no SOAR
- Sensibilização e utilização das tecnologias de segurança existentes
- Colaboração em toda a TI
- Elevada moral da equipa e satisfação no trabalho
Fatores de processo
A automação tem realmente a ver com automatizar processos. Conhecer os processos que a sua equipa utiliza — desde tarefas mundanas até investigação avançada — é um passo fundamental para a adoção bem-sucedida do SOAR. No mínimo, as equipas devem abordar os seus processos ou tarefas mais comuns, como URL ou enriquecimento de alerta de phishing, como ponto de partida para a implementação do SOAR. Isso estabelece uma base sólida para a maturidade na implementação do SOAR. Avalie se possui processos para o seguinte:
- Definição de fluxos de trabalho SOC e os processos de triagem de alertas
- Definir a investigação de incidentes a diferentes níveis de gravidade
- Captura de métricas críticas para medir a eficácia do SOC
- Avaliação das lições aprendidas após incidentes críticos
- Aproveitar métricas para melhoria operacional
- Utilização de metodologias padrão de resposta a incidentes
- Integração de estruturas de detecção standard como MITRE ATT&CK
Fatores tecnológicos
Os processos de detecção de ameaças são um ponto de partida crítico para a implementação do SOAR. A capacidade de ingerir dados de muitas fontes diferentes e através de tecnologias é o que informa uma resposta rápida e adequada. A integração de diferentes aplicações SOAR é onde a orquestração entra em jogo. A orquestração de soluções de gestão de incidentes e eventos de segurança (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR), gestão de acesso à identidade (IAM), inteligência de ameaças, gestão de vulnerabilidades, sistemas de ticketing e muito mais é a razão pela qual o SOAR é considerado extremamente valioso quando bem feito.
Avalie se as suas organizações têm os seguintes fatores tecnológicos:
- Configuração, utilização e manutenção adequadas de uma pilha de tecnologias de detecção implementadas
- Integrações com sistemas de emissão de bilhetes (por exemplo, Jira)
- Integração SIEM (por exemplo, Splunk Enterprise Security )
- Splunk Enterprise Security detecções que utilizam o Risk-Based Alerting (RBA)
- Implementação de tecnologias de detecção comuns em pontos de controlo comuns, incluindo endpoint, rede, correio electrónico e cloud
- Fluxo de fontes identificadas para integração de inteligência de ameaças
- Implantação de ferramentas de gestão de identidade e acesso
- Compatibilidade de APIs entre as tecnologias existentes
Recursos adicionais
Depois de ter avaliado o estado atual da sua organização, clique no resto deste guia para determinar onde está na curva de maturidade. Em seguida, use os recursos fornecidos para levar o seu Splunk SOAR implementação mais aprofundada.
Poderá achar úteis os seguintes recursos adicionais do Splunk:
- Documento técnico: O Modelo de Maturidade de Adoção SOAR
- Slack: #soar na Slack da Comunidade Splunk (inscrever-se aqui )
- Respostas do Splunk: Área de Discussão
- Documentos do Splunk: SOAR On-Prem e Nuvem SOAR
- Evento Virtual a Pedido: Automação para o SOC Moderno
- Palestra Técnica: Pronto, Definido, SOAR: Como as aplicações utilitárias podem subir o nível dos seus playbooks!
- Cursos de Educação: Cursos SOAR
- GitHub: Splunk SOAR Manuais
- GitHub: Splunk SOAR Conectores
- Guia de Referência: SOAR Guia de Referência Rápida