翱翔如何帮助您从安全分析师那里获得惊人的结果

通过网络安全实践总监Stan Engelbrecht,D3安全

安全编排,自动化和响应(SOAR)平台越来越普遍

安全运营工具,在过去几年中出现了事件响应,安全自动化和威胁情报平台的类别。一些SOAR平台狭隘地专注于自动化简单的任务,但该扇区的领导者在SoC中扩展了众多模块以及在整个安全堆栈上进行协调的能力。

最好的SOAR解决方案对安全团队中的每个人都有价值,从前线的人们到经理和高管跟踪报告和指标,从鸟瞰图,甚至在SoC外工作的遵守和法律人员。因为SOAR可以充当SOC中的中心集线器,所以它可以通过自动化升级和任务分配,消除数据索引并强制对工作流中的策略来协调努力。这些独特的能力使得飙升成为许多组织的SoC的核心。

在SAR支持的所有角色中,安全分析师看到最直接的好处,因为SOAR自动化并简化了事件升级,智能收集,上下文化,脚本,协作和报告等重复手动任务。为了说明这种影响的影响程度,让我们来看看SOAR平台如何使分析师更聪明,更快,更聪明,更快乐。

聪明

分析师在企业SoC中的大部分作用正在评估警报的警报真正的威胁以及如何最好地处理它们。拥有几年经验的分析师可能已经建立了有效的能力

评估警报,但使用SOAR平台到位,他们的决定可以通过与安全系统和威胁情报源的集成来增强他们的决定。

分析师还可以使用Link分析和事件时机等工具,以通过可视化模式和关系来缓解调查。甚至双向暹粒集成帮助分析师“变得更智能”,因为SOAR工具可以从先前事件动态抓取其他相关数据 - 例如 - 并将其作为事件记录的上下文元素的一部分呈现给分析师。无论您的分析师如何,每个警报的全部故事都大大降低了人为错误,同时提高了警报管理和决策能力。

快点

对速度的需求是真实的 - 特别是给出了有针对性网络攻击的警报量和增加的复杂性。幸运的是,通过飙升的平台,当分析师开辟了事故记录时,咕噜声已经完成了。通过事件已经确认,语境化和优先考虑,分析师只需要在必要时监督响应和批准,并在必要时 - 任何安全操作,例如阻止网站,关闭端口或禁用受损帐户。与对典型网络钓鱼事件的手工响应相比,可能需要一个小时,所谓的响应应该只需要45到90秒。

wis

安全团队随着时间的推移积累部落知识,以及事件的历史和模式,以及其IT和安全基础设施的复杂性。高级分析师可以随着时间的推移建立这种智慧,但没有办法记录他们所学到的课程,当他们离开组织时,他们的智慧就会丢失 - 或者只是去度假。通过正确的SOAR平台,高级同事可以将他们的知识编纂为剧本,引导工作流程和报告,并与团队分享他们的经验,包括新分析师的批判性阶段。初级分析师还可以从每个以前的事件访问历史数据,以了解过去的可比性情况。这使整个团队能够与他们最有经验的分析师的智慧 - 过去或现在。

更幸福

它可能看起来很琐碎,但分析师的幸福可能对SoC的运作产生重大影响。没有合适的系统,分析师经常因淫乱,重复性任务的不懈速度而受挫。随着网络安全技能差距不断增长的,高营业额可能是安全团队的瘫痪,因为雇用并留住才华横溢的员工。

简而言之,SAR平台减少倦怠。通过自动化和编排,分析师在繁琐的任务上花费更少的时间,如复制和粘贴散列,在第三方应用中查找声誉数据,并在误报后追逐。这让他们专注于需要技能和保护公司从真正威胁的有意义的任务。通过飙升,分析师得到更多完成,感到不知所措,并且有更高的工作满意度。

关于作者

Stan Engelbrecht是D3安全的网络安全实践总监和经过认证的CISSP。斯坦涉及整个产品交付和客户成功生命周期,并特别兴趣与客户一起配置解决方案。

 

 

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请