Zuhause »

Da die Angriffsfläche immer größer wird und die Angriffe immer ausgefeilter werden, liegt die Hauptlast im Kampf gegen Cyberangreifer bei den Sicherheitskontrollzentren (Security Operation Center, SOC). SOCs können die Sicherheitslage eines Unternehmens durch den Einsatz einer SOAR-Plattform (Security Orchestration, Automation and Response) stärken. Diese Sammlung kompatibler, sicherheitsorientierter Software beschleunigt die Untersuchung und Reaktion auf Vorfälle. Eine SOAR-Plattform erhöht die Sichtbarkeit aller Sicherheitsdaten, optimiert IT-Prozesse, automatisiert sicherheitsrelevante manuelle Aufgaben, reduziert redundante und sich wiederholende Arbeiten und verbessert die Zusammenarbeit zwischen Sicherheitstools.

Warum ManageEngine Log360 für SOAR wählen?

  • Sicherheitsorchestrierung
  • Sicherheitsautomatisierung
  • Sicherheitsbehebung

Sicherheitsorchestrierung

           
security-orchestration-automation-and-response-soar-05
  Einheitliche Sicherheitsdatenanalyse

Erfassen Sie Sicherheitsdaten nahtlos aus verschiedenen Quellen in Ihrem Netzwerk, einschließlich Active Directory (AD)-Benutzern, Gruppen, Organisationseinheiten, Netzwerkgeräten wie Firewalls, Servern, Endpunkten und Anwendungen wie Schwachstellenscannern, Software zur Verhinderung von Datenverlust, Bedrohungsanwendungen und mehr. Log360 stellt den Daten einen aussagekräftigen Sicherheitskontext zur Verfügung, um Sicherheitsereignisse schnell und genau zu identifizieren.

  Optimierung des Problemmanagements durch ITIL-Tool-Integrationen

Stellen Sie die Verantwortlichkeit für die Lösung von Vorfällen sicher, indem Sie die Integration von Ticketing-Tools nutzen, um erkannte Vorfälle Sicherheitsadministratoren zuzuweisen. Log360 ermöglicht die Konfiguration externer Helpdesk-Lösungen wie ServiceNow, ManageEngine ServiceDesk Plus, Jira Service Desk, Zendesk, Kayako und BMC Remedy Service Desk.

Sicherheitsautomatisierung

Ermöglichen Sie Workflows für erkannte Sicherheitsvorfälle, die in Form von Warnmeldungen angezeigt werden, und erhalten Sie eine Status-E-Mail.
 
 
 
 
 
 
security-orchestration-automation-and-response-soar-06
  Automatisieren Sie die Bedrohungsbeseitigung

Mit vorgefertigten Workflows für gängige Anwendungsfälle ermöglicht Ihnen Log360 die Automatisierung der Reaktion auf Vorfälle in Ihren Sicherheits- und IT-Prozessen.

Workflows und Ticketzuweisung automatisieren  

Stellen Sie sicher, dass keine kritischen Sicherheitsvorfälle übersehen werden, indem Sie die Ticketzuweisung und die Workflow-Ausführung in Log360 automatisieren. Sie können beispielsweise einen Workflow für Ereignisprotokolle aktivieren, der eine Warnmeldung auslöst und einem Sicherheitsadministrator automatisch ein Ticket zuweist.

     

Sicherheitsbehebung

         

Die Reaktionsverwaltung für Vorfälle von Log360 reduziert die Arbeitsbelastung Ihres SOC, indem sie automatisch eine Reihe gängiger Abwehrmaßnahmen ausführt, die auf der Art des in Ihrer Umgebung erkannten Sicherheitsvorfalls basieren. Die Automatisierung von Vorfall-Workflows hilft, potenzielle langanhaltende Sicherheitsschäden in Ihrem Netzwerk einzudämmen, verkürzt die Reaktionszeiten auf Warnmeldungen und erhöht die Effizienz des SOC, sodass das Team sich anderen Herausforderungen widmen kann.

  Workflow-Profile für die Reaktion auf Vorfälle

Wenn Warnmeldungen ausgelöst werden, können Sie Reaktions-Workflows automatisieren, um Sicherheitsvorfälle im Netzwerk zu entschärfen, bevor sie Schaden anrichten oder zu einer Sicherheitsverletzung führen. Log360 bietet vorgefertigte Workflow-Profile, um schnelle und präzise Sicherheitsreaktionen einzuleiten. Sie können auch Workflows mit Warnmeldungen, Korrelationswarnungen und anderen Sicherheitsalarmen verknüpfen, um die Behebung von Bedrohungen zu automatisieren.

  Sofortige Aussetzung verdächtiger Aktivitäten

Automatisieren Sie Vorfall-Workflows, die verhindern, dass kritische Sicherheitsbedrohungen die Ressourcen Ihrer Organisation ausnutzen. Mit dem Vorfallreaktionsmodul von Log360 können Sie Folgendes tun:

  • Einen potenziell gefährdeten AD-Benutzer oder -Computer in Ihrer AD-Umgebung deaktivieren oder löschen.
  • Einen Prozess auf einem potenziell gefährdeten Windows-Gerät beenden.
  • Ein potenziell gefährdetes Windows-Benutzerkonto abmelden und deaktivieren.
  • Eine Pop-up-Warnung auf dem betroffenen Gerät anzeigen.
  • Einen Dienst auf einem potenziell gefährdeten Gerät stoppen.
  • Ein Gerät anpingen, um die Verbindung innerhalb Ihres Netzwerks zu überprüfen.
  • Eine Funktion zur Routenverfolgung zu einem Gerät in Ihrem Netzwerk ausführen, um den Pfad zu ermitteln.
  • Cisco ASA-Firewall-Aktionen ausführen, z. B. Regeln für eingehende und ausgehende Verbindungen hinzufügen.
  • Ein potenziell gefährdetes Linux-Gerät herunterfahren oder neu starten.
  • Eine bestimmte Skriptdatei auf einem Linux-Gerät ausführen.
 
     
  Workflow-Anpassung

Mit Log360 können Sie mithilfe des benutzerdefinierten Workflow-Builders Vorfall-Workflows auf der Grundlage Ihrer Sicherheitsanforderungen erstellen. Verwenden Sie die einfache Drag-and-Drop-Oberfläche, um aufeinanderfolgende Aktionen zu verknüpfen, den Ablauf auf der Grundlage des Erfolgs oder Misserfolgs der vorherigen Aktion zu erstellen, Zeitverzögerungen auszuführen und vieles mehr.

Unterstützte Anwendungen für die
Workflow-Integration

Log360 unterstützt die nahtlose Workflow-Integration mit verschiedenen Anwendungen und Plattformen, darunter

 
 
Active Directory
 
Linux
 
Cisco ASA-Firewalls
 
Windows
 
 
Überwachen Sie Ihr
Netzwerk
 
Erkennen Sie
Sicherheitsereignisse
 
Lassen Sie sich bei
Bedrohungen benachrichtigen
 
Priorisieren
Sie Bedrohungen mit hohem Risiko
 
Automatisieren Sie
Workflows
 
Weisen Sie
Tickets zu
 
Lösen Sie
Bedrohungen

Häufig gestellte Fragen

1. Was ist SOAR?

Security Orchestration Automation and Response (SOAR) ist ein umfassender Cybersicherheitsansatz, der Sicherheitsorchestrierung, Automatisierung und Reaktion auf Vorfälle in einer einzigen Plattform vereint. Er ermöglicht es Organisationen, Sicherheitsvorfälle auf optimierte und automatisierte Weise zu erkennen, zu untersuchen und darauf zu reagieren.

Die drei Hauptkomponenten von SOAR sind:

  •  Sicherheitsorchestrierung: Sie integriert nahtlos Sicherheitstools, einschließlich SIEM-Systeme, Plattformen für Bedrohungsinformationen und Schwachstellenscanner, in ein einheitliches Sicherheitsökosystem. Diese Integration verbessert die Koordination und Kommunikation zwischen den Systemen, erleichtert den Datenaustausch und führt zu einem verbesserten Workflow-Management und einer höheren Effizienz bei Cybersicherheitsvorgängen.
  •  Sicherheitsautomatisierung: Die Automatisierungskomponente von SOAR reduziert manuelle, sich wiederholende und zeitaufwändige Aufgaben zur Reaktion auf Vorfälle. Durch das Sammeln und Analysieren von Sicherheitsdaten, das Ausführen von Korrekturmaßnahmen und das Erstellen von Vorfallsberichten mithilfe vordefinierter Playbooks oder Workflows kann SOAR die Effizienz von Sicherheitsvorgängen erheblich steigern.
  •  Sicherheitsreaktion: Es bietet einen klar definierten Rahmen für das Reaktionsmanagement bei Vorfällen. Es optimiert den gesamten Lebenszyklus der Vorfallbehandlung, von der Erkennung bis zur Lösung, mit Funktionen wie Fallmanagement, Tools für die Zusammenarbeit und Kommunikationskanälen.

2. Welche Vorteile bietet SOAR?

  • Kosteneffizienz: Automatisieren Sie sich wiederholende Aufgaben und optimieren Sie Arbeitsabläufe, um Ressourcen zu bündeln und Betriebskosten zu senken.
  • Flexibilität: Nahtlose Integration in bestehende Sicherheitsrichtlinien, -prozesse und -tools, um spezifische Unternehmensanforderungen zu erfüllen.
  • Skalierbarkeit und Effizienz im Vorfallsmanagement: Bewältigen Sie eine große Anzahl von Vorfällen, ohne die Effizienz und Qualität zu beeinträchtigen, selbst wenn die Sicherheitslandschaft immer komplexer wird.
  • Verbesserte Vorfallsreaktion: Verkürzen Sie die Reaktionszeiten bei Vorfällen durch die Automatisierung sich wiederholender und manueller Aufgaben.
  • Verbesserte Zusammenarbeit und Kommunikation: Effektive Weitergabe und Dokumentation von Maßnahmen, die während der Reaktion auf Vorfälle ergriffen wurden.
  • Konsistenz und Standardisierung: Gewährleistung von Konsistenz und Einheitlichkeit bei der Bearbeitung aller Vorfälle, unabhängig vom beteiligten Sicherheitsanalysten.

3. Was ist der Unterschied zwischen SOAR und SIEM?

SOAR

SOAR steht für Security Orchestration, Automation und Response (Sicherheitsorchestrierung, -automatisierung und -reaktion). SOAR integriert mehrere Sicherheitstools, darunter SIEM, um sich wiederholende und manuelle Aufgaben zu automatisieren und eine effiziente Reaktion auf Sicherheitsbedrohungen zu ermöglichen. Es benachrichtigt Sicherheitsadministratoren umgehend, damit sie Maßnahmen gegen Bedrohungen ergreifen können, und optimiert die Prozesse zur Reaktion auf Vorfälle, was zu einer schnellen und effektiven Erkennung und Eindämmung von Bedrohungen führt.

SIEM

SIEM steht für Security Information and Event Management (Sicherheitsinformations- und Ereignisverwaltung). Eine SIEM-Lösung sammelt und analysiert Protokolldaten in Echtzeit von verschiedenen Netzwerkgeräten, Servern, Domänencontrollern, Anwendungen und mehr, um ungewöhnliches Verhalten zu erkennen. SIEM-Tools ermöglichen die Echtzeitüberwachung, -korrelation und -analyse von Sicherheitsereignissen und generieren Warnmeldungen, wenn etwas Verdächtiges geschieht.