Skip to main content
Lanterna Home

Splunk Lantern

Gestão de casos no SOAR

  1. Last updated
  2. Save as PDF

Durante as investigações, um analista pode realizar várias tarefas para entender a natureza, intenção e escopo da atividade suspeita para determinar se o incidente representa o verdadeiro risco para o negócio. Se as tarefas não forem bem organizadas, podem ser negligenciadas, resultando em incidentes escorregando pelas fendas. Além disso, os dados acumulados ao longo da investigação podem ser difíceis de compreender ou levar a conclusões incorrectas.

Este artigo faz parte do Splunk Use Case Explorer para S Segurança , que foi concebido para o ajudar a identificar e implementar casos de utilização prescritivos que geram valor comercial incremental. Na jornada de maturidade de segurança descrita no Use Case Explorer , este artigo faz parte de Gestão de incidentes .

Benefícios do Splunk SOAR gestão de casos

Splunk SOAR a gestão de casos fornece um método eficaz de centralização, recolha, distribuição e análise de dados de investigação ligados a eventos e incidentes de segurança específicos. A gestão de casos permite a colaboração de resposta a incidentes de segurança e a conclusão eficiente de tarefas críticas, tanto através de meios manuais como automatizados.

Splunk SOAR otimiza o fluxo de trabalho de investigação, garantindo que as tarefas sejam geridas e as ameaças não sejam negligenciadas. Com a capacidade de percorrer facilmente eventos e artefactos, os analistas podem avaliar se estão a enfrentar uma campanha direcionada, uma ameaça persistente avançada (APT) ou um alarme falso, ao mesmo tempo que recebem uma detecção e resposta eficazes de ponta a ponta.

Acelere a sua descoberta e avaliação de ameaças cibernéticas

  • Gestão de casos totalmente integrada em todo o fluxo de trabalho do analista, permitindo a criação rápida de casos e acesso a partir de qualquer ecrã.
  • Agilize o tempo médio de detecção (MTTD) com a criação de casos com um clique e o escalonamento de incidentes.
  • Investigação de incidentes e gestão de carga de trabalho através de prioridade de caso granular com acesso discricionário e datas de vencimento atribuídas.

Reduza o esforço de investigação, aumente a colaboração e o reconhecimento de ameaças

  • Reduza o tempo médio de resposta (MTTR) através do rastreio de estado em tempo real.
  • Aceda aos detalhes do caso a partir de qualquer ecrã.
  • Gerir alarmes e aprovar ações dentro do caso.
  • Assegurar um registo de auditoria através de atividades completas e histórico de auditoria.
  • Reforçar a segurança e separar deveres através de controlos de acesso discricionários.
  • Aumente a visibilidade e a sensibilização para as investigações em curso com dashboards executivos.

Como criar cases em Splunk SOAR (Nuvem)

Os casos são facilmente criados dentro Splunk SOAR e pode funcionar como um repositório central de provas para investigações em curso.

  • Qualquer evento em Splunk SOAR pode ser promovido a um caso e um caso pode consolidar vários eventos juntos numa unidade lógica de gestão.
  • Os casos podem incluir artefatos, bem como evidências externas, como capturas de tela, notas de analistas e dados de eventos de produtos de terceiros.
  • Os casos utilizam livros de trabalho como listas de verificação passo a passo para garantir a conformidade com os planos de resposta a incidentes necessários.
  • Os casos podem ser trabalhados por indivíduos ou equipas de analistas.

Promover um evento a um caso

Crie um caso primeiro promovendo um evento.

  1. No menu Início, clique em Fontes e, em seguida, seleccione uma etiqueta de contentor.
  2. Clique na mala image (3).png ícone.
  3. Na janela Promover a Caso, seleccione a nova pasta de trabalho que pretende utilizar neste caso. Se já tiver adicionado uma pasta de trabalho ao contentor, não tem a opção de seleccionar uma pasta de trabalho. O menu está inactivo com o texto “Manter pasta de trabalho actual”.
  4. Clicar Salvar .

Uma caixa parece o seu contentor de eventos e tem todas as mesmas funções. Na captura de ecrã abaixo, o bloco colorido com a palavra “Caso” no canto superior esquerdo do ecrã indica que o evento é agora um caso.

unnamed - 2024-05-06T091022.143.png

Seleccione o Caderno de Trabalho separador para ver as tarefas definidas na pasta de trabalho do caso.

unnamed - 2024-05-06T090924.331.png

A Splunk SOAR o caso pode ser partilhado com outros colaboradores, que também podem adicionar provas forenses e anotações para agilizar a detecção e resposta a ameaças. Toda a atividade é rastreada como parte do histórico de atividades do caso, fornecendo um estado em tempo real e um registo de auditoria à prova de adulteração. O acesso pode ser restrito aos utilizadores que necessitem de permissões para garantir a confidencialidade de todos os detalhes do caso. Splunk SOAR O Case Management permite que as organizações melhorem drasticamente a maturidade e a eficiência das suas operações de segurança e capacidades de resposta a incidentes.

Próximos passos

A gestão eficaz de casos pode ser uma verdadeira virada de jogo para o seu centro de operações de segurança (SOC). Ao ligar as ferramentas que as suas equipas já estão a utilizar, irá garantir que todos estão a trabalhar a partir do mesmo conjunto de dados relativamente a qualquer incidente ou ameaça que surja. Depois que o seu ecossistema de segurança estiver configurado para fornecer alertas, descobertas de investigação e outros dados aos membros certos da equipa com automação, pode acelerar o seu tempo médio de resposta e maximizar os pontos fortes da sua equipa.

Para uma visão abrangente Splunk SOAR demonstração ou para contratar os Serviços Profissionais para configurar Splunk SOAR no seu ambiente ou na Splunk Cloud Platform, contacte a equipa ou representante da sua conta Splunk. Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização: