Log360 »

Man mano che la superficie di attacco si allarga e gli attacchi diventano più sofisticati, il peso della battaglia contro gli aggressori informatici ricade sui centri di operazione per la sicurezza (SOC). I SOC possono rafforzare la posizione di sicurezza di un'organizzazione utilizzando una piattaforma SOAR. Questa raccolta di software compatibili incentrati sulla sicurezza accelera l'indagine e la risposta agli incidenti. Una piattaforma SOAR aumenta la visibilità di tutti i dati di sicurezza, semplifica i processi IT, automatizza le attività manuali relative alla sicurezza, riduce il lavoro ridondante e ripetitivo e migliora la collaborazione tra gli strumenti di sicurezza.

Perché scegliere Log360 di ManageEngine per SOAR?

  • Orchestrazione della sicurezza
  • Automazione della sicurezza
  • Rimedi per la sicurezza

Orchestrazione della sicurezza

           
security-orchestration-automation-and-response-soar-05
  Analisi unificata dei dati di sicurezza

Raccogli i dati di sicurezza senza problemi da varie fonti della tua rete, inclusi utenti Active Directory (AD), gruppi, unità organizzative; dispositivi di rete come firewall, server, endpoint; e applicazioni come scanner di vulnerabilità, software di prevenzione della perdita di dati, applicazioni per le minacce e altro ancora. Log360 fornisce un contesto di sicurezza significativo ai dati per identificare gli eventi di sicurezza in modo rapido e accurato.

  Semplificazione della gestione degli incidenti con le integrazioni degli strumenti ITIL

Garantisci la responsabilità per la risoluzione degli incidenti utilizzando l'integrazione dello strumento di ticketing per assegnare gli incidenti rilevati agli amministratori della sicurezza. Log360 consente la configurazione di soluzioni di help desk esterne, come ServiceNow, ServiceDesk Plus di ManageEngine, Jira Service Desk, Zendesk, Kayako e BMC Remedy Service Desk.

Automazione della sicurezza

Abilita i flussi di lavoro per rilevare gli incidenti di sicurezza che vengono presentati sotto forma di avvisi e ricevere un'e-mail di stato.
 
 
 
 
 
 
security-orchestration-automation-and-response-soar-06
  Automatizza la correzione delle minacce

Con flussi di lavoro predefiniti per casi d'uso comuni, Log360 consente di automatizzare la risposta agli incidenti nei processi di sicurezza e IT.

alt
Automatizza i flussi di lavoro e l'assegnazione dei ticket  

Assicurati che nessun incidente di sicurezza critico ti sfugga, automatizzando l'assegnazione dei ticket e l'esecuzione del flusso di lavoro in Log360. Ad esempio, è possibile abilitare un flusso di lavoro relativo ai registri eventi che attiva un avviso e assegna automaticamente un ticket a un amministratore della sicurezza.

     

Rimedio per la sicurezza

         
alt

La gestione della risposta agli incidenti di Log360 riduce il carico di lavoro per il SOC eseguendo automaticamente una serie di misure correttive comuni in base al tipo di incidente rilevato nell'ambiente. L'automazione dei flussi di lavoro degli incidenti aiuta a contenere potenziali danni duraturi alla sicurezza della rete, riduce i tempi di risposta agli avvisi e aumenta l'efficienza del SOC in modo che il team possa affrontare altre sfide.

  Profili del flusso di lavoro di risposta agli incidenti

Quando vengono attivati gli avvisi, automatizza i flussi di lavoro di risposta per mitigare gli incidenti di sicurezza della rete prima che causino danni o provochino una violazione. Log360 fornisce profili di flusso di lavoro predefiniti per avviare risposte di sicurezza rapide e accurate. È inoltre possibile associare i flussi di lavoro a profili di avviso, avvisi di correlazione e altri allarmi di sicurezza per automatizzare la correzione delle minacce.

  Sospensione immediata delle attività sospette

Automatizza i flussi di lavoro degli incidenti che impediscono alle minacce alla sicurezza critiche di sfruttare le risorse della tua organizzazione. Con il modulo di risposta agli incidenti di Log360, puoi:

  • Disabilitare o eliminare un utente o un computer AD potenzialmente compromesso nell'ambiente AD.
  • Terminare un processo in un dispositivo Windows potenzialmente compromesso.
  • Disconnettere e disabilitare un account utente di Windows potenzialmente compromesso.
  • Visualizzare un avviso pop-up sul dispositivo interessato.
  • Arrestare un servizio su un dispositivo potenzialmente compromesso.
  • Eseguire il ping di un dispositivo per verificare la connettività all'interno della rete.
  • Eseguire una funzione di route di tracciamento su un dispositivo nella rete per identificare il percorso.
  • Eseguire le azioni del firewall Cisco ASA, ad esempio l'aggiunta di regole in entrata e in uscita.
  • Arrestare o riavviare un dispositivo Linux potenzialmente compromesso.
  • Eseguire un file di script specificato su un dispositivo Linux.
 
alt
     
  Personalizzazione del flusso di lavoro

Con Log360, puoi creare flussi di lavoro degli incidenti in base ai tuoi requisiti di sicurezza utilizzando il generatore di flussi di lavoro personalizzati. Utilizza la semplice interfaccia di trascinamento della selezione per collegare azioni consecutive, costruire il flusso in base al successo o al fallimento dell'azione precedente, eseguire ritardi e altro ancora.

Applicazioni supportate per
integrazione del flusso di lavoro

Log360 supporta un’integrazione fluida e senza interruzioni del flusso di lavoro con diverse applicazioni e piattaforme, tra cui

 
 
Active Directory
 
Linux
 
Firewall Cisco ASA
 
Windows 10
 
 
Monitora la tua
rete
 
Rileva eventi
di sicurezza
 
Ricevi avvisi per
le minacce
 
Dai priorità alle minacce
ad alto rischio
 
Automatizza i
flussi di lavoro
 
Assegna
i ticket
 
Risolvi
le minacce

Domande frequenti

1. Che cos'è il SOAR?

Il SOAR è un approccio completo alla sicurezza informatica che combina l'orchestrazione, l'automazione e la risposta agli incidenti di sicurezza all'interno di un'unica piattaforma. Consente all'organizzazione di rilevare, indagare e rispondere agli incidenti di sicurezza in modo semplificato e automatizzato.

I tre componenti principali del SOAR sono:

  •  Orchestrazione della sicurezza: integra perfettamente gli strumenti di sicurezza, tra cui i sistemi SIEM, le piattaforme di intelligence sulle minacce e gli scanner di vulnerabilità in un ecosistema di sicurezza unificato. Questa integrazione migliora il coordinamento e la comunicazione tra i sistemi, facilita la condivisione dei dati e si traduce in una migliore gestione del flusso di lavoro e in una maggiore efficienza nelle operazioni di sicurezza informatica.
  •  Automazione della sicurezza: il componente di automazione di SOAR riduce le attività di risposta agli incidenti manuali, ripetitive e dispendiose in termini di tempo. Raccogliendo e analizzando i dati di sicurezza, eseguendo le fasi di correzione e generando report sugli incidenti con playbook o flussi di lavoro predefiniti, SOAR può aumentare notevolmente l'efficienza delle operazioni di sicurezza.
  •  Risposta di sicurezza: offre un quadro ben definito per la gestione della risposta agli incidenti. Semplifica l'intero ciclo di vita della gestione degli incidenti, dal rilevamento alla risoluzione, con funzionalità come la gestione dei casi, gli strumenti di collaborazione e i canali di comunicazione.

2. Quali sono le qualità principali del SOAR?

  • Conveniente: automatizza le attività ripetitive e semplifica i flussi di lavoro per ottimizzare le risorse e ridurre i costi operativi.
  • Flessibile: integra perfettamente i criteri, i processi e gli strumenti di sicurezza esistenti per allinearti ai requisiti organizzativi specifici.
  • Scalabile ed efficiente nella gestione degli incidenti: gestisci un grande volume di incidenti senza compromettere l'efficienza e la qualità, anche se il panorama della sicurezza diventa più complesso.
  • Consente una migliore risposta agli incidenti: riduci i tempi di risposta agli incidenti automatizzando le attività ripetitive e manuali.
  • Favorisce migliori collaborazione e comunicazione: condividi e documenta in modo efficace le azioni intraprese durante la risposta agli incidenti.
  • Permette coerenza e standardizzazione: garantisci coerenza e uniformità nella gestione di tutti gli incidenti, indipendentemente dall'analista della sicurezza coinvolto.

3. Qual è la differenza tra SOAR e SIEM?

SOAR

SOAR è l'acronimo di Security Orchestration, Automation and Response. SOAR integra diversi strumenti di sicurezza, tra cui SIEM, per automatizzare le attività ripetitive e manuali, consentendo risposte efficienti alle minacce alla sicurezza. Avvisa tempestivamente gli amministratori della sicurezza di agire contro le minacce e semplifica i processi di risposta agli incidenti, con conseguente rilevamento e mitigazione delle minacce rapidi ed efficaci.

SIEM

SIEM è l'acronimo di Security Information and Event Management. Una soluzione SIEM raccoglie e analizza i dati di registro in tempo reale da vari dispositivi di rete, server, controller di dominio, applicazioni e altro ancora per identificare comportamenti anomali. Gli strumenti SIEM forniscono monitoraggio, correlazione e analisi in tempo reale degli eventi di sicurezza, generando avvisi quando sta accadendo qualcosa di sospetto.