De alertas a ações, totalmente automatizado

SOAR nativo no Log360

Crie playbooks visuais; execute workflows de resposta; e remedie ameaças em endpoints, redes e identidades, tudo dentro da mesma plataforma do Log360. Sem produto separado. Sem taxa por execução.

O que você vai encontrar
 Integrações mais
profundas
   
 Orquestração
nativa
   
 Playbooks
integrados

Thanks for your interest in ManageEngine Log360

We have received your request for a personalized demo and will contact you shortly.

Solicite uma demo personalizada

Veja como o Log360 SOAR pode reduzir seu MTTR.

  •  
  •  
  •  
  •  
  • Ao clicar em 'Agendar minha demonstração', você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.
R$0de custos adicionais; o SOAR está
incluso em sua licença
10Xmais ramos de execução paralela
por ativação de playbook
500playbooks por organização, com
aninhamento de sub-playbooks
1,000transições de estado por
execução única
Como funciona

Três camadas que funcionam juntas

O SOAR no Log360 é construído através de orquestração, automação e remediação, não adicionado como um módulo separado.

01 / Orquestre

Conecte seu stack de segurança

O Log360 coleta dados de AD, dispositivos de rede, endpoints, fontes em cloud e ferramentas de segurança em um único contexto. Use playbooks para enriquecer alertas dinamicamente com contexto profundo e orquestrar a resposta em todo o seu ecossistema.

02 / Automatize

Construa playbooks — no-code ou low-code

Impulsionado pelo mecanismo de orquestração Zoho Qntrl, o construtor visual de arrastar e soltar permite que você construa workflows de resposta completos usando estados de Branch, Parallel, Wait, Batch e Sub-playbook. Adicione funções Python personalizadas quando precisar de extensibilidade low-code. Importe da biblioteca integrada e implemente em minutos.

03 / Remedie

Atue nos endpoints diretamente

As ações do playbook são executadas nos endpoints através do agente da ManageEngine: reiniciar, desligar, desativar USB, fazer log off de usuários, parar serviços ou executar scripts. Cada ação é registrada em log com trilha de auditoria completa.

Engine Architecture
O que está disponível

Status dos recursos

RecursosStatusDetalhes
Construtor visual de arrastar e soltarDisponívelEstados de Branch, Parallel, Wait, Batch e Sub-Playbook, todos disponíveis atualmente
Biblioteca de playbooks pré-construídosDisponívelMais de 60 templates de playbook predefinidos e um servidor de entrega de conteúdo, que crescem a cada lançamento; importe, personalize e implemente workflows
Scripting personalizado em PythonDisponívelPython padrão; suporte para Deluge também para usuários do ecossistema Zoho
Funções personalizadasDisponívelFunções Python e Deluge reutilizáveis, compartilhadas entre playbooks e gerenciadas centralmente
Suporte a multi-tenant para MSSPDisponívelExecução isolada por tenant, portal de leitura para o cliente e separação de funções de administrador e operador
Construtor de playbooks

Construtor visual no-code — sem SPL, sem KQL

O construtor do Log360 é impulsionado pelo mecanismo de orquestração Zoho Qntrl, uma base de nível empresarial que traz gestão de estado madura e design visual para a automação do SOC. Construa workflows arrastando e conectando estados na tela para definir condições.

  • Branch: lógica condicional if/else baseada em atributos de alerta, resultados de enriquecimento ou saída Python personalizada
  • Parallel: Até 10 caminhos de execução simultâneos. Enriqueça 10 IoCs de uma vez ou remedie 10 endpoints em uma única execução de playbook.
  • Wait: Estados com atraso de tempo de até 30 dias. Útil para verificações de acompanhamento ou etapas de resposta em fases.
  • Batch: Percorra uma lista de entidades (IPs, usuários ou hosts) e aplique a mesma ação a cada uma.
  • Sub-playbooks: Módulos de resposta reutilizáveis. Construa uma vez, chame a partir de qualquer playbook pai.
  • Custom scripting: Python para qualquer lógica personalizada. Deluge também está disponível para usuários do ecossistema Zoho.
Play book builder
Biblioteca de playbooks

Comece a partir de templates, não do zero

O Log360 oferece uma biblioteca com curadoria construída para os casos de uso de segurança que os SOCs realmente executam. Pule a tela em branco, importe um playbook, adapte-o ao seu ambiente e implemente em minutos.

 

Biblioteca integrada

Acesse uma biblioteca de mais de 60 playbooks com curadoria da ManageEngine entregues via nosso servidor de conteúdo, oferecendo workflows pré-construídos que permanecem atualizados conforme o cenário de ameaças evolui.

 

Marketplace de extensões

O Log360 mapeia e resolve automaticamente todas as dependências de extensões e sub-playbooks durante a importação, garantindo que as funções necessárias estejam atualizadas e prontas.

 

Importe e personalize

Importe um playbook da biblioteca, adapte-o ao seu ambiente e promova-o para a produção. Use o modo de execução de teste dedicado para validar seus workflows antes de entrar em operação.

 

Multi-tenancy para MSSP

Construa playbooks uma vez e execute-os em todos os tenants de clientes. Os clientes obtêm visibilidade de portal somente leitura para os resultados de execução. Os MSSPs mantêm controle total de criação e edição.

 

Acesso baseado em funções

Delegue a execução de playbooks para analistas, enquanto restringe os controles administrativos e o acesso ao construtor a administradores autorizados. Garanta a responsabilização total por meio de logs de auditoria granulares e visibilidade baseada em permissões em todos os históricos de resposta automatizados.

 

Histórico de execução

O Log360 fornece três meses de retenção de execução por organização, oferecendo um rastreamento abrangente passo a passo de todas as entradas, saídas e timestamps que podem ser facilmente filtrados por playbook, alerta ou intervalo de datas.

Comparação de concorrentes
Splunk SOAR

Depende de integrações com ferramentas de endpoint (ex: plataformas EDR) para executar ações. A resposta de endpoint depende de ferramentas externas e de seu licenciamento.

Microsoft Sentinel

A remediação avançada de endpoint é impulsionada por meio do Microsoft Defender for Endpoint. As capacidades totais de resposta normalmente dependem do licenciamento do Defender.

Log360

O agente da ManageEngine existente suporta tanto operações de TI quanto remediação de segurança. Não são necessários agentes ou ferramentas de endpoint adicionais.

Remediação nativa de endpoints

Atue nos endpoints — sem agente extra

O Log360 executa ações de endpoint por meio do agente existente da ManageEngine, permitindo remediação direta sem software adicional ou ferramentas de segurança separadas.

Endpoint
  • Reiniciar ou desligar máquinas.
  • Fazer log off de sessões de usuário.
  • Desativar portas USB.
  • Exibir alertas pop-up no dispositivo.
Execução de scripts
  • Executar scripts PowerShell, Bash e Shell.
  • Executar arquivos EXE, CMD e batch.
  • Selecionar qualquer máquina gerenciada.
Gestão de serviços
  • Iniciar ou parar serviços Windows ou Linux.
  • Encerrar processos em hosts comprometidos.
  • Testar conectividade via ping.
Rede e firewall
  • Traceroute para identificar o caminho.
  • Adicionar regras de entrada e saída para o Cisco ASA.
  • Bloquear IPs diretamente de uma etapa do playbook.
Por que isso é importante

Reduza o tool sprawl, evite camadas extras de licenciamento e responda mais rápido usando o que já está implementado.

Do sinal à resposta

A cadeia completa, automatizada em uma plataforma

Caso de Uso 01 · Identidade
Resposta a comprometimento de identidade Okta
CríticoMITRE ATT&CK®: T1078
 
Enriquecimento de dados Estágio 1
  • Colete grupo de usuários, função e acesso a aplicações privilegiadas.
  • Verifique novos fatores de MFA inscritos nas últimas 24 horas.
  • Execute reputação de IP e pontuação de risco.
  • Busque histórico de login (como novo dispositivo, novo ASN ou nova geolocalização).
  • Correlacione alertas críticos anteriores sobre o usuário e o IP.
 
Investigação e decisão Estágio 2
  • Pontue os sinais: Novo dispositivo + nova geolocalização + novo fator de MFA.
  • Branch com base no nível de privilégio do usuário e exposição da aplicação.
 
Resposta Estágio 3
  • Force a redefinição de senha para o usuário comprometido.
  • Remova fatores de MFA recém-inscritos.
  • Bloqueie o IP e ASN maliciosos.
  • Notifique o usuário e o SOC sobre as ações tomadas.
Caso de Uso 02 · EDR e abuso de administrador
CrowdStrike Falcon: resposta a atribuição não autorizada de função de administrador
CríticoMITRE ATT&CK®: T1078
 
Enriquecimento de dados Estágio 1
  • Colete o histórico de falha de logon para usuários ativos e alvo (últimas 24h)
  • Busque alertas críticos vinculados a qualquer uma das contas de usuário
  • Verifique timestamps de criação de conta para ambos os usuários
  • Verifique a reputação do IP de origem via VirusTotal e calcule a pontuação de risco a partir de feeds de inteligência de ameaças
 
Investigação e decisão Estágio 2
  • Branch se o IP for malicioso ou a pontuação de risco for alta
  • Branch se qualquer um dos usuários tiver +5 falhas de logon em 24h
  • Branch se houver alertas presentes em qualquer uma das contas
  • Branch se qualquer uma das contas tiver sido criada recentemente
  • Halt e notificar se as condições não forem atendidas
 
Resposta Estágio 3
  • Trigger sub-playbook Block IP na origem maliciosa
  • Force a redefinição de senha em ambos os usuários, ativo e alvo
  • Revogue todas as funções atribuídas a ambos os usuários
  • Execute scan completo do sistema e coloque ameaças em quarentena
  • Isole o host e notifique os usuários sobre os próximos passos
Cobertura MITRE

ATT&CK e D3FEND, ambos mapeados

Cada playbook na biblioteca é marcado com táticas MITRE ATT&CK e contramedidas D3FEND, oferecendo às equipes de SOC rastreabilidade total de ataque à defesa dentro do mesmo workflow.

Rastreabilidade do ataque à defesa

ATT&CK diz o que o adversário fez. D3FEND mapeia o que sua ação defensiva faz a respeito. Quando ambos estão no mesmo playbook, você pode responder a perguntas de auditoria com precisão:

  • Quais playbooks respondem ao T1548 - Abuse Elevation Control Mechanism?
  • Qual técnica defensiva o cobre?

Esse mapeamento duplo transforma cada resposta automatizada em um controle verificável e alinhado a frameworks, útil para revisões de incidentes, preparação para auditorias e relatórios de maturidade do SOC.

Exemplo: Playbook de elevação de privilégio
T1548Abuse Elevation Control Mechanism
 
Detectado por monitoramento de integridade de processos
D3-EREndpoint Remediation
 
Playbook revoga permissões administrativas
D3-OTProcess eviction
 
Processos de alta integridade não autorizados encerrados
Contido Automatizado
 
Remediação registrada em log, equipe de segurança alertada
Biblioteca de Recursos

Como você gostaria de explorar o SOAR?

01

Leia o datasheet

Veja um overview de alto nível dos recursos e aprenda o valor de negócio do SOAR nativo no Log360.

 
02

O que é SOAR?

Leia um resumo sobre SOAR, onde ele se encaixa em um SOC e como ele muda os workflows diários dos analistas.

 
01

Biblioteca de playbooks

Navegue por playbooks prontos para importação que abrangem contenção de malware, comprometimento de credenciais, enriquecimento de IOC e muito mais.

 
02

Casos de uso passo a passo

Veja guias passo a passo mostrando como implementar um caso de uso específico de ponta a ponta, desde a configuração do trigger até a remediação.

 
01

Inscreva-se para um teste gratuito de 30 dias

Ative um tenant de teste do Log360 Cloud em minutos. Obtenha acesso total ao SOAR, sem necessidade de cartão de crédito.

 
02

Confira nosso guia de ajuda

Veja o guia completo de administrador e playbook, incluindo a camada de orquestração Zoho Qntrl, funções personalizadas, configuração de funções e muito mais.

 
03

Entre em contato com o suporte

Obtenha ajuda prática de nossos especialistas em SOAR para configuração, playbooks personalizados, integrações e questões de migração.

 
FAQ

Perguntas Frequentes

Qual é a diferença entre SOAR e SIEM?

O SIEM coleta, correlaciona e alerta sobre dados de log de todo o seu ambiente. O SOAR pega esse alerta e executa uma resposta definida (enriquecimento, contenção, notificação ou abertura de ticket) automaticamente. O Log360 faz ambos na mesma plataforma, para que o contexto do alerta flua diretamente para o playbook sem qualquer interrupção.

Quais linguagens de scripting são suportadas para funções personalizadas no Log360?

Python é a principal linguagem de scripting para funções personalizadas de playbook. Deluge (linguagem de scripting da Zoho) também é possível para equipes que já estão no ecossistema Zoho. Para qualquer equipe ou plataforma cruzada, recomendamos priorizar o Python.

Qual é o limite de playbooks no Log360?

O limite é de 500 playbooks por organização. A maioria dos SOCs de médio porte opera com 20 a 50 playbooks ativos, portanto, isso oferece uma margem substancial.

Por quanto tempo o histórico de execução do playbook é retido?

Três meses. Isso cobre a revisão operacional e retrospectivas de incidentes para a maioria dos casos de uso. Para requisitos de auditoria de conformidade, observe que os dados de log do SIEM (não o log de execução do SOAR) são o registro de auditoria oficial. A retenção do SIEM segue sua política configurada.

O SOAR está incluso na licença atual do Log360?

Sim, para o Log360 Cloud. O SOAR está incluso no plano Enterprise sem custo adicional. Não há taxa por playbook ou por execução.

SIEM + UEBA + SOAR, uma licença

O Log360 Cloud oferece detecção de ameaças, análise comportamental e resposta automatizada em uma única plataforma. Sem add-ons, sem cobrança por execução.

Iniciar teste gratuito