Cortex XSOAR: как повысить эффективность SOC
На первый взгляд, ключ к повышению эффективности SOC (Security Operation Center) кажется простым: уменьшить время восстановления и время обнаружения инцидентов. Однако каким образом можно этого достичь?
В этом материале автор статьи, Орхан Халилов, Sales Engineer, BAKOTECH, поможет отделам информационной безопасности понять основные проблемы сегодняшнего SOC и определить методы их устранения с помощью решения класса SOAR (Security Orchestration, Automation, and Response).
Что из себя представляет SOC?
SOC, также известный как ЦИБ (Центр Информационной Безопасности) или ОЦИБ (Операционный Центр Информационной Безопасности), представляет собой систему, состоящую из трех ключевых компонентов: люди, процессы, технологии.
Эти три элемента формируют единый механизм, схожий с "автомобилем", который движется в определенном направлении. Если, предположим, у этого "автомобиля" возникает сбой в двигателе, коробке передач или происходит обычная поломка колеса, движение приостанавливается. То же самое происходит и с SOC, если хотя бы один из его основных компонентов функционирует некорректно, что влечет падение общей эффективности.
В современных условиях SOC обладает множеством утилит и решений, требующих экспертизы для эффективной работы с каждым из них. Как следствие, невозможно быть полностью знакомым с каждым решением или вендором на 100%.
Далее появляется проблема с большим количеством ложноположительных срабатываний, так как каждое решение генерирует свои собственные алерты и инциденты. В результате аналитикам SOC приходится тратить драгоценное время на разрешение ложных срабатываний.
Если к этому прибавить отсутствие четко определенных процессов и процедур, эффективность SOC снижается до минимума.
С проблемами могут справиться решения класса SOAR
Чтобы понять, как работают решения класса SOAR, рассмотрим пример развертывания Cortex XSOAR (Extended Security Orchestration, Automation, and Response) от Palo Alto Networks.
SOAR-решения используются в роли централизатора и оркестратора для других решений в ИБ. XSOAR — это система, которая может сама:
● решать инциденты;
● различать ложноположительные срабатывания от действительно реальных кибератак;
● применять нужные конфигурации в NGFW, EDR/XDR, DLP решениях;
● задокументировать инцидент и уведомить пользователя/его менеджера/SOC-аналитика о его закрытии.
Пример развертывания XSOAR
В следующем примере рассмотрим, как развертывание XSOAR выглядит архитектурно и на практике:
Для самого простого варианта развертывания потребуется всего одна виртуальная машина под операционной системой Linux (в данном примере используется Ubuntu), в которой можно установить Server и Engine — основные компоненты Cortex XSOAR.
Архитектура данного решения предоставляет возможность легко интегрироваться с различными инфраструктурами, даже в случае их полной изоляции от внешнего мира. Достаточно просто запустить готовый скрипт-установщик, который автоматически развернет основные компоненты.
В решении есть преднастроенные дашборды, но их можно также полностью кастомизировать под любые задачи.
Вот несколько примеров:
В Cortex XSOAR Marketplace есть свыше 800 интеграций с различными вендорами и решениями, что является одним из его главных преимуществ. Интеграции очень простые и в самой системе есть готовые step-by-stepгайды по каждой из них.
Пример интеграции с песочницей Wildfire от Palo Alto Networks:
Каждый контент пак содержит в себе как интеграцию, так и готовые плейбуки:
Есть также встроенный TIM:
Автоматизация выполнена за счет скриптов в формате Python, Javascript, Powershell. Есть встроенный “помощник” для пользователей, которые умеют только читать код.
Так выглядит Playbook:
Это был поверхностный обзор. Далее перейдем к реальному примеру.
В тестовой среде выполнена интеграция с Palo Alto Networks NGFW, Cortex XDR (еще одно решение из линейки Cortex), из которых приходят инциденты и алерты, и песочницей Wildfire.
В Cortex XSOAR есть удобный функционал для тестирования отработки Playbook. Это встроенная утилита для генерации рандомных инцидентов.
Для примера сгенерирован инцидент в Cortex XDR. Давайте посмотрим, как Cortex XSOAR отработал этот инцидент.
Перейдя в сам инцидент, мы увидим, что через консоль XSOAR можно во время расследования уже совершить какое-либо действие над конечной станцией. Например, изолировать ее.
Переходим в следующие вкладки.
Ниже видим, что Cortex XSOAR автоматически применил и запустил Playbook.
Он выдает вердикт на основе данных, полученных из полного анализа и расследования, а также применяет реагирование, где это нужно.
Инцидент был проработан, закрыт и задокументирован в базу.
Инцидент можно переоткрыть в любое время и продолжить расследование, если в этом есть необходимость.
Выводы
Давайте суммируем, какие выгоды предоставляет решение Cortex XSOAR для оптимизации работы SOC:
1. Cortex XSOAR предлагает инструменты для автоматизации и оркестрации, что снижает нагрузку на аналитиков и ускоряет время реагирования на инциденты. Это не только повышает эффективность, но также позволяет сосредотачиваться на более сложных задачах, требующих человеческого вмешательства.
2. Важным аспектом Cortex XSOAR является его способность интегрироваться с различными источниками данных и инструментами безопасности. Это создает единую платформу для анализа и реагирования на угрозы, устраняя изолированные острова информации и повышая целостность системы безопасности.
3. Cortex XSOAR охватывает полный цикл реагирования на инциденты, начиная с обнаружения и анализа, и заканчивая реагированием и предотвращением будущих инцидентов. Это способствует не только эффективному управлению текущими угрозами, но и улучшению стратегий предотвращения.
4. Внедрение Cortex XSOAR не только улучшает операционные процессы SOC, но также создает устойчивую и гибкую инфраструктуру для борьбы с постоянно развивающимися киберугрозами. Это вложение в безопасность, которое приносит значительные результаты в виде улучшенной производительности и защиты данных.
С учетом этих преимуществ Cortex XSOAR становится неотъемлемой частью современного SOC, помогая организациям достигать новых уровней информационной безопасности.