威胁场面持续演化 网络攻击日新月异 网络频发
IT团队面对挑战管理多端用户设备环境, 由各种网络连接设备、操作系统和应用组成企业必须确保一致、组织认可的控件在这些环境应用
使用正确的安全知识是可以实现的,但也存在全球网络安全技能短缺问题。事实上350万网络安全位置预期到2021年仍未实现.
这些挑战并非不可克服。安全操作和事件响应法SOAR可以征服
SOAR是什么
SOAR指兼容软件求解堆栈,允许组织协调安全管理和业务的不同部分并使之自动化,提高安全流程和工作流程的精度、一致性和效率并自动应对威胁
SOAR如何工作
安全管弦
SOAR的第一个组件安全调试需要利用各种兼容产品在一个解决方案栈内使用,通过标准工作流程协调管理操作活动安全解决方案自动汇总多源数据,增加上下文识别潜在缺陷,并使用风险建模假想实现自动威胁检测越来越多的组织认识到这一点,优先注意安全技术间有效整合的必要性,以便能够快速发现威胁并作出反应
安全自动化
第二项内容是安全自动化,它涉及威胁检测过程涉及的许多重复动作自动化
传统上,组织内部安全分析师会手动处理威胁报警,通常是多任务从多点解决方案向上提升报警这会增加人为错误、前后不一威胁响应和高度严重威胁被忽视的可能性
SOAR自动机收集事件丰富情报, 代表分析师执行常见调查步骤帮助剖析事件, 并持续交付事件响应生命周期的协和响应
安全响应
第三部分安全响应包括分级处理、控制消除威胁
响应方法取决于威胁类型和范围某些威胁响应可自动化实现快速结果,例如Queranting文件、全组织阻塞文件hashes、隔离主机或禁止访问失密账户
复杂网络攻击需要复杂响应安全游乐本从这里运来
带Cisco托管检测响应自动化由定义式调查和响应编程支持,编程概述已知威胁假想和应对不同类型威胁的最佳做法自动化作用是快速执行这些游戏手册
SOAR威胁检测响应过程像什么
先举AMP端点识别文件潜在恶意SOAR将能够启动调查过程,开始回答问题并自动执行任务,例如:
- 文件隔离
- 文件执行了吗
- 网络中还在哪里看到此文件
- Cisco威胁网格沙箱环境触发文件
- 使用连接、文件相关上下文和源相关技术调查,如伞式和隐形监视云
- 检索文件上现有威胁情报并检查已知折中指标
- 收集主机识别信息用户名
答案向调查员提供背景信息,帮助确定事件的合法性、影响、紧迫性及范围信息依次判定适当的响应行动,可包括:
- Quaranting主机网络
- 阻塞文件hash跨网络
- 阻塞IOCs
- 扫描清洗设备
投注SOAR
上头网络安全技能短缺IT预算紧凑 威胁环境动态性 以及优化安全操作需求
思科MDR安全报警互连互增自动化屏蔽项目传播即时封存并近速报告折中指标阻塞、打猎和后续
结果是精简安全作业并增强安全姿态,不中断IT预算或不得不招聘安全分析队
学习思科MDR如何增强安全操作并允许你自由聚焦于最重要的问题联系今天脱机
千真万确