Log360 »

Efterhånden som angrebsoverfladen udvides, og angreb bliver mere sofistikerede, øges sikkerhedsoperationscentrenes (SOC) opgaver i kampen mod cyberangribere. SOC'er kan styrke en organisations sikkerhedsniveau med en SOAR-platform (sikkerhedsorkestrering, -automatisering og -respons). Denne samling af kompatibel sikkerhedsfokuseret software fremskynder undersøgelse af og reaktion på hændelser. En SOAR-platform øger synligheden af alle sikkerhedsdata, strømliner IT-processer, automatiserer sikkerhedsrelaterede manuelle opgaver, reducerer overflødigt og gentagent arbejde og forbedrer samarbejdet mellem sikkerhedsværktøjer.

Hvorfor vælge ManageEngine Log360 til SOAR?

  • Sikkerhedsorkestrering
  • Sikkerhedsautomatisering
  • Sikkerhedsafhjælpning

Sikkerhedsorkestrering

           
security-orchestration-automation-and-response-soar-05
  Samlet analyse af sikkerhedsdata

Indsaml sikkerhedsdata problemfrit fra forskellige kilder i dit netværk, herunder Active Directory (AD)-brugere, ‑grupper og ‑organisationsenheder, netværksenheder som firewalls, servere og slutpunkter samt programmer som sikkerhedsrisikoscannere, software til forebyggelse af datatab, trusselsprogrammer og meget mere. Log360 giver dataene en meningsfuld sikkerhedskontekst, så sikkerhedshændelser kan identificeres hurtigt og præcist.

  Strømlining af hændelsesadministration med integration af ITIL-værktøjer

Fastlæg ansvaret for løsning af hændelser ved at bruge integration af et anmodningsværktøj til at tildele detekterede hændelser til sikkerhedsadministratorer. Log360 tillader konfiguration af eksterne helpdeskløsninger som ServiceNow, ManageEngine ServiceDesk Plus, Jira Service Desk, Zendesk, Kayako og BMC Remedy Service Desk.

Sikkerhedsautomatisering

Aktivér arbejdsgange for detekterede sikkerhedsbrud, der udløser advarsler og afsendelse af statusmails.
 
 
 
 
 
 
security-orchestration-automation-and-response-soar-06
  Automatiser afhjælpning af trusler

Med forudbyggede arbejdsgange til almindelige scenarier giver Log360 dig mulighed for at automatisere reaktioner på hændelser i alle dine sikkerheds- og IT-processer.

Automatiser arbejdsgange og tildeling af anmodninger  

Sørg for, at ingen alvorlige sikkerhedsbrud overses, ved at automatisere tildeling af anmodninger og udførelse af arbejdsgange i Log360. Du kan f.eks. aktivere en arbejdsgang relateret til hændelseslogfiler, som udløser en advarsel og automatisk tildeler en anmodning til en sikkerhedsadministrator.

     

Sikkerhedsafhjælpning

         

Log360's styring af reaktioner på hændelser reducerer arbejdsbyrden for dit SOC ved automatisk at udføre en række almindelige afhjælpende foranstaltninger, baseret på den slags sikkerhedsbrud der detekteres i dit miljø. Automatisering af arbejdsgange for hændelser hjælper med at begrænse potentielle langvarige sikkerhedsskader på dit netværk, reducerer reaktionstider for advarsler og øger SOC-effektiviteten, så teamet kan tackle andre udfordringer.

  Profiler for arbejdsgang ved hændelser

Når advarsler udløses, kan du automatisere arbejdsgange for at afbøde sikkerhedsbrud på netværket, før de forårsager skade eller resulterer i et brud. Log360 har forudbyggede profiler til arbejdsgange, der iværksætter hurtige og præcise sikkerhedsreaktioner. Du kan også knytte arbejdsgange til advarselsprofiler, korrelationsadvarsler og andre sikkerhedsalarmer for at automatisere afhjælpning af trusler.

  Omgående standsning af mistænkelige aktiviteter

Automatiser arbejdsgange for hændelser, der forhindrer alvorlige sikkerhedstrusler i at udnytte din organisations aktiver. Det kan du med Log360's hændelsesreaktionsmodul:

  • Deaktivere eller slette en potentielt kompromitteret AD-bruger eller ‑computer i dit AD-miljø.
  • Afslutte en proces på en potentielt kompromitteret Windows-enhed.
  • Udlogge og deaktivere en potentielt kompromitteret Windows-brugerkonto.
  • Vise en pop op-advarsel på den berørte enhed.
  • Stoppe en tjeneste på en potentielt kompromitteret enhed.
  • Pinge en enhed for at tjekke forbindelsen i dit netværk.
  • Køre en sporingsrutefunktion til en enhed i dit netværk for at identificere stien.
  • Udføre Cisco ASA-firewallhandlinger, f.eks. tilføjelse af ind- og udgående regler.
  • Lukke eller genstarte en potentielt kompromitteret Linux-enhed.
  • Udføre en specificeret scriptfil på en Linux-enhed.
 
     
  Tilpasning af arbejdsgange

Med Log360 kan du opbygge arbejdsgange for hændelser baseret på dine sikkerhedskrav med generatoren af tilpassede arbejdsgange. Brug det enkle træk og slip-interface til at forbinde fortløbende handlinger, konstruere arbejdsgangen, afhængigt af om den foregående handling var vellykket eller mislykket, udføre tidsforsinkelser og meget mere.

Understøttede programmer til
integration af arbejdsgange

Log360 understøtter problemfri integration af arbejdsgange med forskellige programmer og platforme, herunder

 
 
Active Directory
 
Linux
 
Cisco ASA-firewalls
 
Windows
 
 
Overvåg dit
netværk
 
Detekter sikkerheds-
hændelser
 
Bliv advaret om
trusler
 
Prioriter højrisiko-
trusler
 
Automatiser
arbejdsgange
 
Tildel
anmodninger
 
Løs
trusler

Ofte stillede spørgsmål

1. Hvad er SOAR?

Sikkerhedsorkestrering, -automatisering og -respons (SOAR) er en omfattende cybersikkerhedstilgang, der kombinerer sikkerhedsorkestrering, automatisering og respons på hændelser i en enkelt platform. Det gør det muligt for organisationen at detektere, undersøge og reagere på sikkerhedsbrud på en strømlinet og automatiseret måde.

De tre hovedkomponenter i SOAR er:

  •  Sikkerhedsorkestrering Det integrerer problemfrit sikkerhedsværktøjer, herunder SIEM-systemer, threat intelligence-platforme og sikkerhedsrisikoscannere, i et samlet sikkerhedsøkosystem. Denne integration forbedrer koordinering og kommunikation mellem systemer, letter datadeling og resulterer i forbedret styring af arbejdsgange og øget effektivitet i cybersikkerhedsoperationer.
  •  Sikkerhedsautomatisering: Automatiseringskomponenten i SOAR reducerer manuelle, gentagne og tidkrævende opgaver relateret til reaktion på hændelser. Ved at indsamle og analysere sikkerhedsdata, udføre afhjælpningstrin og generere hændelsesrapporter ved hjælp af foruddefinerede strategiplaner eller arbejdsgange kan SOAR i høj grad øge effektiviteten af sikkerhedsoperationer.
  •  Sikkerhedsreaktion: Det sørger for en veldefineret struktur for håndtering af hændelsesreaktioner. Det strømliner hele livscyklussen for håndtering af hændelser, fra detektering til løsning, med funktioner som sagsadministration, samarbejdsværktøjer og kommunikationskanaler.

2. Hvad er fordelene ved SOAR?

  • Omkostningseffektiv: Automatiser gentagne opgaver, og strømlin arbejdsgange for at optimere ressourcer og reducere driftsomkostninger.
  • Fleksibilitet: Integrer problemfrit med eksisterende sikkerhedspolitikker, ‑processer og ‑værktøjer for at indrette dem efter specifikke organisatoriske krav.
  • Skalerbarhed og effektivitet i hændelsesadministration: Håndter en stor mængde hændelser uden at gå på kompromis med effektivitet og kvalitet, selv når sikkerhedsbilledet bliver mere komplekst.
  • Forbedret reaktion på hændelser: Reducer reaktionstiden på hændelser ved at automatisere gentagne og manuelle opgaver.
  • Forbedret samarbejde og kommunikation: Del og dokumentér effektivt handlinger, der foretages under hændelsesreaktioner.
  • Konsistens og standardisering: Sørg for konsistens og ensartethed i håndteringen af alle hændelser, uanset hvilken sikkerhedsanalytiker der er involveret.

3. Hvad er forskellen mellem SOAR og SIEM?

SOAR

SOAR står for sikkerhedsorkestrering, ‑automatisering og ‑respons. SOAR integrerer flere sikkerhedsværktøjer, herunder SIEM, for at automatisere gentagne og manuelle opgaver, hvilket muliggør effektive reaktioner på sikkerhedstrusler. Det giver straks sikkerhedsadministratorer besked om at gribe ind over for trusler og strømliner reaktionsprocesser, hvilket resulterer i hurtig og effektiv detektering og afhjælpning af trusler.

SIEM

SIEM står for security information and event management. En SIEM-løsning indsamler og analyserer logdata i realtid fra forskellige netværksenheder, servere, domænecontrollere, programmer og meget mere for at identificere unormal adfærd. SIEM-værktøjer giver overvågning, korrelation og analyse af sikkerhedshændelser i realtid og genererer advarsler, når der sker noget mistænkeligt.