Реагирование на инциденты в режиме реального времени.

Библиотека безопасника / Код ИБ Онлайн

30 просмотры
0 Лайки
0 0
Сегодняшний ландшафт киберугроз постоянно развивается. Кроме того, растущее число точечных продуктов безопасности увеличивает утомление от множества уведомлений, что усугубляет и без того сложную среду мониторинга безопасности. Чтобы справиться с этой сложностью, на фоне нехватки людей, навыков и опыта в области кибербезопасности, предприятия и поставщики услуг стремятся упростить свои операции и максимально повысить эффективность современных Security Operation Center (SOC) для предприятий и MSSP, консолидируя и обрабатывая оповещения от широкого диапазона продуктов для обеспечения безопасности, автоматизируя выполняемый анализ и повторяющиеся задачи, чтобы сэкономить ценные ресурсы, и используя четко определенные плейбуки, чтобы обеспечить реагирование на инциденты в режиме реального времени.
На данном вебинаре будет представлен обзор того, как FortiSOAR помогает устранять некоторые из самых серьезных проблем, стоящих сегодня перед командами кибербезопасности. Предоставление командам SOC возможности создавать настраиваемую автоматизированную среду, которая объединяет все инструменты их организации, объединяет операции, устраняет усталость от множества уведомлений и уменьшает переключение между контекстами. Это позволяет предприятиям не только адаптировать, но и оптимизировать процесс обеспечения безопасности.

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

31.

26. Истории клиентов

29. Резюме

9. FortiSOAR 6.4

25. 26 Отчетность ( Reporting ) Графическая отчетность с расписанием и доставкой по электронной почте Построение пользовательских отчетов с помощью редактора отчетов на основе виджетов

1. 1 FortiSOAR – реагирование на инциденты в режиме реального времени Olesya Tarabrina, SE

24. 25 Панели управления ( Dashboards ) Гибкие панели на основе виджетов Поддержка кастомных панелей Мульти - панельная структура

20. 21 Orchestration & Automation Автоматизация – Репозиторий сценариев реагирования Коллекция Playbook’ ов Множеств преднастроенных Playbook’ ов Импорт из BPMN

22. 23 Workflow & Collaboration Рабочая область для совместной работы & SOC Wiki  Workspace Collaboration Panel  SOC Wiki для хранения и управления документами и взаимодействия

2. 3 Сложность экосистемы увеличивает время реагирования и восстановления И приводит к усложнению построения системы оркестрации, автоматизации и реагирования Слишком много вендоров Слишком много алертов Ручной и медленный ответ Недостаток квалифицированных специалистов

17. 18 Orchestration & Automation Оркестрация – Connectors Investigate Remediate Enrich Ingest Triage Contain ▪ 280+ коннекторов , 3000+ действий ▪ Дополнительные интеграции разрабатываются каждые 3 недели

10. 11 Основные возможности FortiSOAR Incident/Case Management Workflow & Collaboration Threat Intel Management Orchestration & Automation Четыре столпа FortiSOAR 1. Incident and Case Management 2. Orchestration & Automation 3. Workflow & Collaboration 4. Threat Intelligence Management

3. 4 NGFW SD - WAN Security Operations Мультивендорная видимость ( FortiSIEM ): Threat Hunting, CMDB Аналитика и автоматизация Security Fabric ( FortiAnalyzer ): Logging & Reporting, Best Practice Compliance, Security Fabric Incident Response Упрощение операций безопасности Выбор предложения в соответствии со зрелостью SOC

30. 31 NGFW SD - WAN Security Operations Мультивендорная видимость ( FortiSIEM ): Threat Hunting, CMDB Аналитика и автоматизация Security Fabric ( FortiAnalyzer ): Logging & Reporting, Best Practice Compliance, Security Fabric Incident Response Упрощение операций безопасности Выбор предложения в соответствии со зрелостью SOC

11. 12 Incident & Case Management Компонент реагирования на инциденты Компонент реагирования на инциденты содержит коллекцию всех модулей, связанных с инцидентами безопасности . • Alerts: записи о подозрительной активности • Incidents : записи фактического нарушения безопасности • Tasks : действие, предпринимаемое индивидуальным или автоматическим ответом • Indicators : записи, идентифицирующие угрозу • Emails & MITRE ATT&CK Techniques

5. 6 1. Единое управление реагированием на инциденты БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Security Operation Centers имеют возможность мгновенно управлять, автоматизировать и реагировать со всеми существующими инструментами . Позволяет командам централизовывать свои процессы безопасности. Результатом является более быстрый отклик в реальном времени на машинной скорости. • Visual Playbook Builder • Monitor Playbook Performance • 290+ Connectors, 3000+ Actions

16. 17 Orchestration & Automation Оркестрация – Методы интеграции Firewalls TI Platform EDR Email Server Directory Service SIEM Sandbox Ticket System Connectors • Сбор • Обогащение • Содержание • Восстановление • Сортировка • Расследование

6. 7 2. Автоматизация упорядочивания алертов БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Оптимизация процессов безопасности, автоматическое сопоставление предупреждений из всего стека безопасности в единый инцидент для расследования, сортировки и восстановления. Устранение усталости от алертов и способность сосредоточиться на поиске угроз. • Prioritize alerts across SOC team • Role - based Incident Management • Easily Create Custom Modules

7. 8 3. Оптимизация SOC БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Измерение и отслеживание своего прогресса с помощью настраиваемых панелей мониторинга FortiSOAR ™ для мониторинга ключевых показателей эффективности операций безопасности и создания автоматических отчетов на уровне предприятия для аудиторов и руководителей. Позволяет SOC определять уязвимости и определять, где можно автоматизировать ручные процессы. • KPI Dashboards for SOC • Customizable Dashboards & Reports • Role - based User Reporting

15. 16 Orchestration & Automation Разве оркестрация и автоматизация не одно и то же ? Orchestration: возможность управлять или контролировать внешние системы через определенные коннекторы Automation : выполнение сценария реагирования ( playbook ) при выполнении определенных условий Playbooks : коллекция действий на основании скриптов Например , может быть создан playbook , который срабатываем при получении определенного предупреждения от SIEM и автоматически собирает дополнительные контекстные данные, прежде чем привлекать оператора - аналитика.

12. 13 Incident & Case Management Реагирование на инциденты – Пример типового процесса FORTISOAR SIEM FAZ Connectors Create Tasks Assign related alerts / indicators Enrich / Fetch / Remediate Escalat e Run Playbooks Actionable Alerts Investigate Connectors Incident Incident Response

23. 24 Threat Intelligence Management Модуль Indicators • Извлечение информации об угрозах из оповещений, загруженных файлов, электронных писем и внешних источников анализа угроз ( TI ) • Сохранение информации об угрозе в БД для использования другими модулями Управление несколькими форматами и источниками TI из центральной системы и связывание данных об угрозах с оповещениями и инцидентами .

13. 14 Incident & Case Management Реагирование на инциденты – Alerts & Incidents • Отслеживание всего жизненного цикла инцидента • данные, статус, назначенный аналитк, дата и время последнего обновления • Связывание записей • связывание активов, пользователей, индикаторов и уязвимостей • Интуитивно понятный и настраиваемый вид • просмотр списка / сетки, фильтрация и поиск • Интеграция с системами заявок Единое место для просмотра и организации данных безопасности, которое позволяет уменьшить ручную работу с разрозненными инструментами безопасности .

19. 20 Orchestration & Automation Оркестрация – Data Ingestion • Источники данных • SIEM, Threat Intelligence Platforms, Vulnerability Management Tools • Прием данных при помощи коннекторов • Ingestion wizard • Ingestion playbook • Режим приема данных • На базе оповещений • На базе расписания • App Push Коннекторы FortiSOAR предоставляются с примерами playbook ’ ов для сбора данных из разных источников .

18. 19 Orchestration & Automation Оркестрация – Connectors • Connectors Store • Просмотр , поиск, установка, обновление и удаление • Для установки необходимы права на чтение ( Read ) и создание (Create) на Connectors module • Built - in Connectors • Custom Connectors • Создание собственных коннекторов с помощью SDK Используя коннекторы, вы можете подключаться к внешним инструментам кибербезопасности для выполнения различных автоматических взаимодействий с использованием playbook ’ ов .

8. 9 4. Взаимодействие в рамках SOC БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ 59 % организаций имеют незакрытые должности в службах беопасности. Используйте возможности FortiSOAR ™, чтобы заполнить пробелы в навыках, одновременно снижая затраты. FortiSOAR ™ обеспечивает кросс - функциональную совместную работу для ускорения процесса восстановления и работы с оповещениями безопасности. В результате улучшается совместная работа в команде, снижается нагрузка и расширяются возможности безопасности. • Team Collaboration Workspace • Automate Responses to Alerts, Incidents, Vulnerabilities • 24hr Workspace Continuity

21. 22 Orchestration & Automation Автоматизация – Visual Playbook Editor для создания кастомного playbook’ а • Перетащите блок в режиме d rag and drop для модификации и добавления шага в playbook’ е • Разнообразие выбора из графических меню • Создать/Обновить/Найти запись • Логические решения, согласования и задачи • Коннекторы и утилиты • Вложенные playbook’ и Внедряйте свои лучшие практики и весь рабочий процесс в playbook’ и для последовательной обработки инцидентов и реагирования .

14. 15 • Создание очередей и добавление членов команды • Назначать оповещения, инциденты и задачи в очередь • Вручную ( drag and drop ) • Автоматически через playbook • Просмотр назначений по очередям или по отдельным людям • Очереди могут управляться с помощью playbook ’ ов Incident & Case Management Реагирование на инциденты – Queue Management Предоставление обзора работы для менеджера SOC. Позволяет назначать ожидающие задачи командам или отдельным лицам .

28. 29 Комплексный поставщик услуг в сфере жилой недвижимости. Н ацелен на расширение возможностей независимых агентов по продажам для лучшего обслуживания современных потребителей • Работа с SOAR уже велась, но через год Заказчик захотел добавить новые функциональные возможности для автоматизации существующих рабочих процессов ( команда SOC 10+ аналитиков) • Отсутствие масштабируемости действующего SOAR • Playbook - д вижок действующего SOAR было очень сложно кастомизировать • Отсутствие поддержки со стороны действующего поставщика SOAR ПРОБЛЕМЫ ЦЕЛИ • Мощная , настраиваемая автоматизация и управление кейсами • Глубокая поддержка предприятия и предоставление услуг профессионального сервиса • Настраиваемый интерфейс и модули РЕШЕНИЕ Строительная компания , переход на FortiSOAR

27. 28 Мировой лидер по производству энергетических и химических веществ • Отсутствие глобальной видимости и единообразия по всему Saudi Aramco – 6 SOC и более 130 SOC аналитиков  Аналитики не успевали за объемами оповещений, которые обрабатывались локально по регионам  Отсутствие обмена передовым опытом и непрерывность процесса 24/7 в ручном режиме  Кастомизация существующего SOAR, т.е. л окальная доработка, была сложной задачей. ПРОБЛЕМЫ ЦЕЛИ • Мощная , масштабируемая, настраиваемая автоматизация и расширяемое управление кейсами • Мультитенантная полностью распределенная архитектура • Лучшая в своем классе поддержка и предоставляемые опции профессионального сервиса продемонстрированы в рамках POC РЕШЕНИЕ Крупное нефтегазовое предприятие , SOAR для распредленного SOC

4. 5 Уровни зрелости Security Operations Center (SOC ) Зрелость SOC УРОВЕНЬ 1 Зрелость SOC УРОВЕНЬ 2 Зрелость SOC УРОВЕНЬ 3 Люди Средний бизнес с одной командой - ИТ & Безопасность (<5 сотрудников IT - security) Средне - крупный бизнес с выделенной командой безопасности (3 - 5 выделенных сотрудников службы безопасности ) Крупное предприятие с опытными аналитиками SOC / командой SOC (5+ выделенных сотрудников SOC) Процессы Реагирование на инцидент с максимальным усилием Базовый план реагирования на инциденты Продвинутые процессы SOC и сценарии реагирования ( playbooks ) Возможности • Logging & Reporting • Automated Detection & Response Уровень 1 плюс : • Multi - Vendor Incident Detection Уровень 2 плюс : • Alert Management • Unified Orchestration Automation & Response

Просмотры

  • 30 Всего просмотров
  • 20 Просмотров Веб-сайта
  • 10 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+