- Beranda
- Kemampuan SIEM
- Otomasi dan respons orkestrasi keamanan
Manfaatkan SOAR untuk mempercepat investigasi dan merespons ancaman
Percepat respons insiden dan perkuat sistem cyber security Anda
Meningkatnya cakupan serangan dan semakin canggihnya ancaman siber (cyber attack) membuat pusat operasi keamanan atau security operation centers (SOC) memiliki peranan penting dalam menghadapi serangan ini. SOC bisa memperkuat sistem keamanan organisasi dengan memanfaatkan platform security, orchestration, automation and response (SOAR). Platform ini menggabungkan berbagai software keamanan untuk mempercepat investigasi dan respon insiden. SOAR memberikan visibilitas yang lebih baik terhadap data keamanan, menyederhanakan proses IT, mengotomatisasi tugas manual terkait keamanan, mengurangi pekerjaan yang berulang, dan meningkatkan kolaborasi antar tool keamanan.
Mengapa memilih ManageEngine Log360 untuk SOAR?
Orkestrasi keamanan
Kumpulkan data keamanan dengan mudah dari berbagai sumber di jaringan Anda termasuk pengguna, grup, unit organisasi Active Directory (AD); perangkat jaringan seperti firewall, server, endpoint; dan aplikasi seperti vulnerability scanner, data loss prevention software, threat applications, dan lainnya. Log360 mendukung keamanan data untuk mengidentifikasi security event dengan cepat dan akurat.
Jaga akuntabilitas dalam penanganan insiden dengan memanfaatkan integrasi tool tiket untuk meneruskan insiden yang terdeteksi langsung kepada administrator keamanan. Log360 memungkinkan konfigurasi solusi help desk eksternal, seperti ServiceNow, ManageEngine ServiceDesk Plus, Jira Service Desk, Zendesk, Kayako, dan BMC Remedy Service Desk.
Otomatisasi keamanan
Log360 memungkinkan Anda untuk mengotomatiskan respons insiden di seluruh proses keamanan dan IT dengan workflow bawaan untuk penggunaan umum.
Pastikan bahwa tidak ada insiden keamanan penting yang luput dari perhatian Anda dengan mengotomatiskan assignment tiket dan implementasi workflow di Log360. Sebagai contoh, Anda bisa mengaktifkan workflow terkait event log yang memicu peringatan dan meneruskan tiket kepada admin keamanan secara otomatis.
Remediasi keamanan
Manajemen respons insiden Log360 mengurangi workload SOC Anda dengan secara otomatis melakukan remediasi berdasarkan jenis insiden keamanan yang terdeteksi di sistem Anda. Mengotomatiskan workflow insiden membantu menghindari masalah keamanan jangka panjang pada jaringan Anda, mengurangi waktu respons alert, dan meningkatkan efisiensi SOC, sehingga tim dapat mengatasi masalah lainnya.
Ketika Anda menerima peringatan, otomatiskan workflow respons untuk mengatasi insiden keamanan jaringan, agar tidak menimbulkan kerusakan atau pelanggaran data. Log360 menyediakan workflow profile bawaan untuk membuat respons keamanan yang cepat dan akurat. Anda juga dapat mengaitkan workflow ke alert profile, correlation alert, dan alarm keamanan lainnya untuk mengotomatiskan threat remediation.
Otomatiskan workflow insiden untuk menghentikan ancaman keamanan yang berpotensi mengeksploitasi aset organisasi Anda. Modul respons insiden Log360 memungkinkan Anda untuk:
- Menonaktifkan atau menghapus pengguna AD atau komputer yang berpotensi diretas di lingkungan AD Anda.
- Menghentikan proses pada perangkat Windows yang berpotensi diretas.
- Log off dan menonaktifkan akun pengguna Windows yang berpotensi diretas.
- Menampilkan peringatan pop-up pada perangkat yang terdampak.
- Menghentikan layanan pada perangkat yang berpotensi diretas.
- Melakukan ping ke perangkat untuk memeriksa konektivitas dalam jaringan Anda.
- Menjalankan fungsi tracking route ke perangkat di jaringan Anda untuk mengidentifikasi jalur.
- Melakukan tindakan firewall Cisco ASA, seperti menambahkan inbound dan outbound rules.
- Shut down atau restart perangkat Linux yang berpotensi diretas.
- Menjalankan file skrip tertentu pada perangkat Linux.
Anda dapat membuat workflow insiden berdasarkan kebutuhan keamanan tertentu menggunakan custom workflow builder Log360. Manfaatkan interface drag and drop yang sederhana untuk menghubungkan tindakan berurutan, buat flow berdasarkan keberhasilan atau kegagalan tindakan sebelumnya, tunda waktu eksekusi, dan banyak lagi.
Log360 mendukung integrasi
workflow yang lancar dengan
berbagai aplikasi dan platform termasuk
Anda
events
ancaman
berisiko tinggi
workflows
tickets
ancaman
Pertanyaan yang sering diajukan
1. Apa itu SOAR?
Security orchestration, automation, and response (SOAR) adalah pendekatan cyber security komprehensif yang menggabungkan orkestrasi keamanan, otomasi, dan respons insiden dalam satu platform. Pendekatan ini memungkinkan organisasi untuk mendeteksi, menyelidiki, dan menanggapi insiden keamanan dengan cara yang efisien dan otomatis.
Tiga komponen utama SOAR adalah:
- Security orchestration: SOAR mengintegrasikan tool keamanan, termasuk sistem SIEM, platform threat intelligence, dan vulnerability scanners ke ekosistem keamanan yang terpadu. Integrasi tersebut meningkatkan koordinasi dan komunikasi antar sistem, memfasilitasi pembagian data, dan menghasilkan manajemen workflow serta efisiensi yang lebih baik dalam operasi cyber security.
- Security automation: Komponen otomatisasi SOAR mengurangi task respons insiden yang manual, berulang, dan memakan waktu. Dengan mengumpulkan dan menganalisis data keamanan, menjalankan langkah-langkah remediasi, dan membuat laporan insiden menggunakan predefined playbook atau workflow, SOAR dapat meningkatkan efisiensi operasi keamanan secara signifikan.
- Security response: SOAR menawarkan kerangka kerja yang didefinisikan dengan baik untuk manajemen respons insiden. SOAR menyederhanakan seluruh life cycle penanganan insiden, dari deteksi hingga resolusi dengan fitur-fitur seperti manajemen kasus, tool kolaborasi, dan channel komunikasi.
2. Apa saja manfaat SOAR?
- Hemat biaya: Otomatiskan task berulang dan sederhanakan workflow untuk mengoptimalkan sumber daya dan mengurangi biaya operasional.
- Mendapatkan fleksibilitas: Terintegrasi dengan kebijakan, proses, dan tool keamanan yang ada untuk memenuhi kebutuhan spesifik organisasi.
- Meningkatkan skalabilitas dan efisiensi dalam manajemen insiden: Menangani banyak insiden tanpa mengorbankan efisiensi dan kualitas, bahkan saat tantangan keamanan semakin kompleks.
- Mempercepat respon insiden: Mengurangi waktu respons insiden dengan mengotomatiskan tugas berulang dan manual.
- Meningkatkan kolaborasi dan komunikasi: Memastikan setiap tindakan yang diambil selama respons insiden terdokumentasi dengan baik dan dapat dibagikan dengan tim.
- Memperoleh konsistensi dan standarisasi: Memastikan semua insiden ditangani dengan cara yang seragam dan konsisten, siapapun analis keamanan yang menanganinya.
3. Apa perbedaan antara SOAR dan SIEM?
SOAR
SOAR merupakan singkatan dari security orchestration, automation, and response. SOAR mengintegrasikan beberapa tool keamanan, termasuk SIEM, untuk mengotomatiskan task yang berulang dan manual. Hal ini memungkinkan respons yang efisien terhadap ancaman keamanan. Sistem ini dapat segera memberitahu administrator keamanan untuk mengambil tindakan terhadap ancaman dan menyederhanakan proses respons insiden, sehingga menghasilkan deteksi dan mitigasi ancaman yang cepat dan efektif.
SIEM
SIEM adalah singkatan dari security information and event management. Solusi SIEM mengumpulkan dan menganalisis data log secara real-time dari berbagai perangkat jaringan, server, domain controller, aplikasi, dan lainnya untuk mengidentifikasi perilaku anomali. Tool SIEM menyediakan monitoring, korelasi, dan analisis security event secara real-time yang menghasilkan peringatan saat sesuatu yang mencurigakan terjadi.
