31.
26. Истории клиентов
29. Резюме
9. FortiSOAR 6.4
25. 26 Отчетность ( Reporting ) Графическая отчетность с расписанием и доставкой по электронной почте Построение пользовательских отчетов с помощью редактора отчетов на основе виджетов
1. 1 FortiSOAR – реагирование на инциденты в режиме реального времени Olesya Tarabrina, SE
24. 25 Панели управления ( Dashboards ) Гибкие панели на основе виджетов Поддержка кастомных панелей Мульти - панельная структура
20. 21 Orchestration & Automation Автоматизация – Репозиторий сценариев реагирования Коллекция Playbook’ ов Множеств преднастроенных Playbook’ ов Импорт из BPMN
22. 23 Workflow & Collaboration Рабочая область для совместной работы & SOC Wiki Workspace Collaboration Panel SOC Wiki для хранения и управления документами и взаимодействия
2. 3 Сложность экосистемы увеличивает время реагирования и восстановления И приводит к усложнению построения системы оркестрации, автоматизации и реагирования Слишком много вендоров Слишком много алертов Ручной и медленный ответ Недостаток квалифицированных специалистов
17. 18 Orchestration & Automation Оркестрация – Connectors Investigate Remediate Enrich Ingest Triage Contain ▪ 280+ коннекторов , 3000+ действий ▪ Дополнительные интеграции разрабатываются каждые 3 недели
10. 11 Основные возможности FortiSOAR Incident/Case Management Workflow & Collaboration Threat Intel Management Orchestration & Automation Четыре столпа FortiSOAR 1. Incident and Case Management 2. Orchestration & Automation 3. Workflow & Collaboration 4. Threat Intelligence Management
3. 4 NGFW SD - WAN Security Operations Мультивендорная видимость ( FortiSIEM ): Threat Hunting, CMDB Аналитика и автоматизация Security Fabric ( FortiAnalyzer ): Logging & Reporting, Best Practice Compliance, Security Fabric Incident Response Упрощение операций безопасности Выбор предложения в соответствии со зрелостью SOC
30. 31 NGFW SD - WAN Security Operations Мультивендорная видимость ( FortiSIEM ): Threat Hunting, CMDB Аналитика и автоматизация Security Fabric ( FortiAnalyzer ): Logging & Reporting, Best Practice Compliance, Security Fabric Incident Response Упрощение операций безопасности Выбор предложения в соответствии со зрелостью SOC
11. 12 Incident & Case Management Компонент реагирования на инциденты Компонент реагирования на инциденты содержит коллекцию всех модулей, связанных с инцидентами безопасности . • Alerts: записи о подозрительной активности • Incidents : записи фактического нарушения безопасности • Tasks : действие, предпринимаемое индивидуальным или автоматическим ответом • Indicators : записи, идентифицирующие угрозу • Emails & MITRE ATT&CK Techniques
5. 6 1. Единое управление реагированием на инциденты БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Security Operation Centers имеют возможность мгновенно управлять, автоматизировать и реагировать со всеми существующими инструментами . Позволяет командам централизовывать свои процессы безопасности. Результатом является более быстрый отклик в реальном времени на машинной скорости. • Visual Playbook Builder • Monitor Playbook Performance • 290+ Connectors, 3000+ Actions
16. 17 Orchestration & Automation Оркестрация – Методы интеграции Firewalls TI Platform EDR Email Server Directory Service SIEM Sandbox Ticket System Connectors • Сбор • Обогащение • Содержание • Восстановление • Сортировка • Расследование
6. 7 2. Автоматизация упорядочивания алертов БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Оптимизация процессов безопасности, автоматическое сопоставление предупреждений из всего стека безопасности в единый инцидент для расследования, сортировки и восстановления. Устранение усталости от алертов и способность сосредоточиться на поиске угроз. • Prioritize alerts across SOC team • Role - based Incident Management • Easily Create Custom Modules
7. 8 3. Оптимизация SOC БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ Измерение и отслеживание своего прогресса с помощью настраиваемых панелей мониторинга FortiSOAR ™ для мониторинга ключевых показателей эффективности операций безопасности и создания автоматических отчетов на уровне предприятия для аудиторов и руководителей. Позволяет SOC определять уязвимости и определять, где можно автоматизировать ручные процессы. • KPI Dashboards for SOC • Customizable Dashboards & Reports • Role - based User Reporting
15. 16 Orchestration & Automation Разве оркестрация и автоматизация не одно и то же ? Orchestration: возможность управлять или контролировать внешние системы через определенные коннекторы Automation : выполнение сценария реагирования ( playbook ) при выполнении определенных условий Playbooks : коллекция действий на основании скриптов Например , может быть создан playbook , который срабатываем при получении определенного предупреждения от SIEM и автоматически собирает дополнительные контекстные данные, прежде чем привлекать оператора - аналитика.
12. 13 Incident & Case Management Реагирование на инциденты – Пример типового процесса FORTISOAR SIEM FAZ Connectors Create Tasks Assign related alerts / indicators Enrich / Fetch / Remediate Escalat e Run Playbooks Actionable Alerts Investigate Connectors Incident Incident Response
23. 24 Threat Intelligence Management Модуль Indicators • Извлечение информации об угрозах из оповещений, загруженных файлов, электронных писем и внешних источников анализа угроз ( TI ) • Сохранение информации об угрозе в БД для использования другими модулями Управление несколькими форматами и источниками TI из центральной системы и связывание данных об угрозах с оповещениями и инцидентами .
13. 14 Incident & Case Management Реагирование на инциденты – Alerts & Incidents • Отслеживание всего жизненного цикла инцидента • данные, статус, назначенный аналитк, дата и время последнего обновления • Связывание записей • связывание активов, пользователей, индикаторов и уязвимостей • Интуитивно понятный и настраиваемый вид • просмотр списка / сетки, фильтрация и поиск • Интеграция с системами заявок Единое место для просмотра и организации данных безопасности, которое позволяет уменьшить ручную работу с разрозненными инструментами безопасности .
19. 20 Orchestration & Automation Оркестрация – Data Ingestion • Источники данных • SIEM, Threat Intelligence Platforms, Vulnerability Management Tools • Прием данных при помощи коннекторов • Ingestion wizard • Ingestion playbook • Режим приема данных • На базе оповещений • На базе расписания • App Push Коннекторы FortiSOAR предоставляются с примерами playbook ’ ов для сбора данных из разных источников .
18. 19 Orchestration & Automation Оркестрация – Connectors • Connectors Store • Просмотр , поиск, установка, обновление и удаление • Для установки необходимы права на чтение ( Read ) и создание (Create) на Connectors module • Built - in Connectors • Custom Connectors • Создание собственных коннекторов с помощью SDK Используя коннекторы, вы можете подключаться к внешним инструментам кибербезопасности для выполнения различных автоматических взаимодействий с использованием playbook ’ ов .
8. 9 4. Взаимодействие в рамках SOC БИЗНЕС ДРАЙВЕР КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ 59 % организаций имеют незакрытые должности в службах беопасности. Используйте возможности FortiSOAR ™, чтобы заполнить пробелы в навыках, одновременно снижая затраты. FortiSOAR ™ обеспечивает кросс - функциональную совместную работу для ускорения процесса восстановления и работы с оповещениями безопасности. В результате улучшается совместная работа в команде, снижается нагрузка и расширяются возможности безопасности. • Team Collaboration Workspace • Automate Responses to Alerts, Incidents, Vulnerabilities • 24hr Workspace Continuity
21. 22 Orchestration & Automation Автоматизация – Visual Playbook Editor для создания кастомного playbook’ а • Перетащите блок в режиме d rag and drop для модификации и добавления шага в playbook’ е • Разнообразие выбора из графических меню • Создать/Обновить/Найти запись • Логические решения, согласования и задачи • Коннекторы и утилиты • Вложенные playbook’ и Внедряйте свои лучшие практики и весь рабочий процесс в playbook’ и для последовательной обработки инцидентов и реагирования .
14. 15 • Создание очередей и добавление членов команды • Назначать оповещения, инциденты и задачи в очередь • Вручную ( drag and drop ) • Автоматически через playbook • Просмотр назначений по очередям или по отдельным людям • Очереди могут управляться с помощью playbook ’ ов Incident & Case Management Реагирование на инциденты – Queue Management Предоставление обзора работы для менеджера SOC. Позволяет назначать ожидающие задачи командам или отдельным лицам .
28. 29 Комплексный поставщик услуг в сфере жилой недвижимости. Н ацелен на расширение возможностей независимых агентов по продажам для лучшего обслуживания современных потребителей • Работа с SOAR уже велась, но через год Заказчик захотел добавить новые функциональные возможности для автоматизации существующих рабочих процессов ( команда SOC 10+ аналитиков) • Отсутствие масштабируемости действующего SOAR • Playbook - д вижок действующего SOAR было очень сложно кастомизировать • Отсутствие поддержки со стороны действующего поставщика SOAR ПРОБЛЕМЫ ЦЕЛИ • Мощная , настраиваемая автоматизация и управление кейсами • Глубокая поддержка предприятия и предоставление услуг профессионального сервиса • Настраиваемый интерфейс и модули РЕШЕНИЕ Строительная компания , переход на FortiSOAR
27. 28 Мировой лидер по производству энергетических и химических веществ • Отсутствие глобальной видимости и единообразия по всему Saudi Aramco – 6 SOC и более 130 SOC аналитиков Аналитики не успевали за объемами оповещений, которые обрабатывались локально по регионам Отсутствие обмена передовым опытом и непрерывность процесса 24/7 в ручном режиме Кастомизация существующего SOAR, т.е. л окальная доработка, была сложной задачей. ПРОБЛЕМЫ ЦЕЛИ • Мощная , масштабируемая, настраиваемая автоматизация и расширяемое управление кейсами • Мультитенантная полностью распределенная архитектура • Лучшая в своем классе поддержка и предоставляемые опции профессионального сервиса продемонстрированы в рамках POC РЕШЕНИЕ Крупное нефтегазовое предприятие , SOAR для распредленного SOC
4. 5 Уровни зрелости Security Operations Center (SOC ) Зрелость SOC УРОВЕНЬ 1 Зрелость SOC УРОВЕНЬ 2 Зрелость SOC УРОВЕНЬ 3 Люди Средний бизнес с одной командой - ИТ & Безопасность (<5 сотрудников IT - security) Средне - крупный бизнес с выделенной командой безопасности (3 - 5 выделенных сотрудников службы безопасности ) Крупное предприятие с опытными аналитиками SOC / командой SOC (5+ выделенных сотрудников SOC) Процессы Реагирование на инцидент с максимальным усилием Базовый план реагирования на инциденты Продвинутые процессы SOC и сценарии реагирования ( playbooks ) Возможности • Logging & Reporting • Automated Detection & Response Уровень 1 плюс : • Multi - Vendor Incident Detection Уровень 2 плюс : • Alert Management • Unified Orchestration Automation & Response