O IBM QRadar SOAR (orquestração, automação e resposta de segurança) foi criado para acelerar e aprimorar os processos de resposta a incidentes das equipes de operações de segurança. O QRadar SOAR utiliza automação e inteligência para capacitar analistas a tomarem medidas rápidas e decisivas contra possíveis incidentes de segurança. Com um premiado Playbook Designer, mais de 300 integrações e um avançado módulo de resposta a violações, o QRadar SOAR foi desenvolvido para escalar e otimizar sua equipe de segurança.
Gerenciamento de casos
Com os recursos sofisticados de gerenciamento de casos do QRadar SOAR, os analistas têm uma visão acessível do contexto adicional do incidente para acelerar e melhorar o processo de investigação. Além disso, as visualizações do dashboard e os relatórios de casos ajudam a resumir e compartilhar métricas e descobertas importantes entre as equipes, proporcionando visibilidade em toda a organização.
- O QRadar SOAR dá aos analistas a capacidade de conhecer a fundo a investigação de um caso por meio da visualização de artefatos. A tab "Evidências" em cada caso fornece descobertas e artefatos relevantes anexados a cada incidente, oferecendo uma visão centralizada do contexto adicional. Os analistas também podem documentar descobertas e ideias adicionais nas seções de anexos e observações.
- O dashboard de análise de dados do QRadar SOAR exibe vários gráficos e tabelas com informações estatísticas, dependendo do seu nível de acesso e de permissão. Os usuários podem personalizar a visualização do dashboard de acordo com uma seleção de widgets predefinidos, como tabelas dinâmicas e gráficos, para entender melhor o MTTD, o MTTR, os casos em aberto/encerrados por responsável, por tipo, por duração, por gravidade etc.
A capacidade de gerar relatórios diretamente no QRadar SOAR, seja sobre um único incidente ou múltiplos incidentes, facilita o compartilhamento de informações entre as equipes e com a liderança, melhorando a visibilidade e a clareza em todo o processo de resposta a incidentes.
Playbooks e automação
Vencedor do Red Dot Design Award, o Playbook Designer do QRadar SOAR é uma ferramenta avançada criada para que suas equipes de segurança acelerem a resposta a incidentes. Com funcionalidades dinâmicas e de pouco código, os playbooks totalmente automatizados podem ser elaborados em questão de minutos e sem qualquer programação.
O Playbook Designer é uma interface de usuário gráfica e intuitiva, desenvolvida especificamente para que os engenheiros de automação criem e personalizem respostas manuais e automáticas. O Playbook Designer fornece uma biblioteca de tarefas criadas previamente, scripts, funções, sub-playbooks e pontos de condição disponíveis para uso imediato. A experiência do usuário conta com o recurso de clicar e arrastar para adicionar nós à tela, além da capacidade de conectar esses nós de inúmeras maneiras para executar seu processo com a lógica desejada.
O Data Navigator, lançado na versão 49.0 do QRadar SOAR, é uma estrutura de configuração de funções de pouco código disponível no Playbook Designer. O Data Navigator permite configurar entradas de funções em questão de segundos e com poucos cliques, sem necessidade alguma de programação. Em versões anteriores do QRadar SOAR, o método de definição de inputs para funções e sub-playbooks exigia conhecimento de Python e scripts. Com o Data Navigator, o Playbook Designer agora fornece entradas dinâmicas e de sub-playbooks em um menu intuitivo de esquema de playbook. Para os usuários que ainda preferem Python para configurações de scripts, ainda expomos o Data Navigator nas experiências das tabs de campos e de scripts.
O Playbook Go-Back, lançado na versão 51.0.1.0 no QRadar SOAR, é um aprimoramento da nossa funcionalidade de loop que permite que os criadores de playbooks e engenheiros de automação criem fluxos flexíveis e lógicos em seus playbooks, permitindo que o processo salte para qualquer outro nó de acordo com as condições definidas. Com isso, seu fluxo pode reexecutar funções e tarefas e mostrar, de modo intuitivo, exatamente o que foi feito, além de acompanhar as informações relacionadas na trilha de auditoria.
O Playbook Progress Visualization, lançado na versão 49.0 do QRadar SOAR, introduz uma nova maneira de visualizar o progresso de um playbook. Os analistas de segurança monitoram com mais facilidade o progresso de uma instância do playbook em execução e visualizam o status de cada nó à medida que o playbook progride, conforme projetado pelo engenheiro do SOC. Assim, o analista pode tomar decisões com mais rapidez e confiança sobre onde a intervenção pode ser necessária para levar o caso adiante ou depurar uma automação.
O Playbook Instances, lançado na versão 51.0 do QRadar SOAR, fornece uma nova tab no dashboard Playbooks, na qual os desenvolvedores têm uma visão abrangente de todos os playbooks em execução em sua instância do QRadar SOAR. A filtragem por status, tipo de ativação ou tipo de objeto do playbook, bem como filtros de data e hora mais detalhados, permite que os desenvolvedores de playbooks identifiquem com rapidez e confiança onde precisam intervir para resolver problemas no nível do caso ou com o playbook de origem.
- A compatibilidade com JSON nativa, lançada na versão 51.0.0.1 do QRadar SOAR, agora aceita dados JSON nativos nos casos. O JSON não precisa mais ser armazenado como uma string incômoda e quase inutilizável. Os dados de entrada JSON agora podem ser usados para preencher tabelas de dados, campos de incidentes, entradas de playbooks etc. O SOAR também facilita o consumo de informações em JSON, formatando automaticamente os dados com recuo claro, diferenciação de cores e capacidade de recolhimento.
Integrações e aplicações do SOAR
O QRadar SOAR oferece mais de 300 integrações para simplificar seus processos de orquestração e automação de resposta a incidentes.
O IBM App Exchange é um fornecedor único para procurar, compartilhar e baixar integrações desenvolvidas pela IBM, por fornecedores terceirizados e pela comunidade de segurança mais ampla. Essas integrações são criadas para aprimorar e ampliar os recursos das soluções da IBM Security. Para pesquisar as mais de 300 integrações do QRadar SOAR disponíveis, basta usar os filtros na tab "QRadar SOAR".
A ênfase no conteúdo das respostas, disponível para uso imediato, continua a ser um grande foco do QRadar SOAR. Os conteúdos de playbooks criados previamente agilizam o desenvolvimento da automação e reduzem o tempo de formulação. Para auxiliar nesse processo, as aplicações QRadar SOAR do IBM App Exchange (integrações existentes e novas) estão sendo aprimoradas com exemplos de playbooks dentro da própria integração do SOAR. Atualmente, você pode filtrar por "tipo de conteúdo" no IBM App Exchange e selecionar "Playbooks" para ver mais de 60 integrações de SOAR equipadas com playbooks. Após a configuração da integração com SOAR no sistema, os playbooks associados são automaticamente adicionados à biblioteca de playbooks.
O App Host (antigo Edge Gateway) é um ambiente de implementação de contêineres baseado no Kubernetes que hospeda contêineres de aplicações. Após o download de uma integração do SOAR do IBM App Exchange, o usuário a importa para o ambiente do QRadar SOAR, configura a integração e a implementa em um App Host para habilitar a aplicação para uso.
Resposta a violações
O QRadar SOAR Breach Response foi desenvolvido para simplificar a conformidade com as leis de notificação de violação de dados após a ocorrência de um incidente de segurança. Ele capacita os analistas do seu SOC a tomarem as medidas corretas e a colaborarem com os membros certos da equipe para responder a violações de segurança que envolvam informações sensíveis, dados pessoais, informações de identificação pessoal (PII) e outros tipos de dados. Com a integração do SOAR e relatórios de violação de dados, o Breach Response oferece à organização suporte para mais de 200 regulamentações de privacidade em todo o mundo, permitindo que as equipes de segurança da informação integrem as tarefas de relatórios de privacidade em seus playbooks gerais de resposta a incidentes.
No âmago do QRadar SOAR Breach Response está a base de conhecimento global. Atualizado regularmente, esse banco de dados contém requisitos de notificação de violação de dados em todo o mundo, como GDPR e CCPA, bem como regulamentações específicas do setor que possuem requisitos de relatórios de violação de privacidade, como HIPAA. Uma equipe interna de profissionais de privacidade de dados gerencia a base de conhecimento global e a mantém atualizada por meio da comunicação com órgãos reguladores, agências governamentais, profissionais de privacidade da base de clientes da IBM e a comunidade de privacidade mais ampla.
O SOAR Breach Response acelera a resposta a violações de dados por meio da integração de tarefas específicas de privacidade diretamente no playbook geral do incidente. Essas tarefas de privacidade detalham as etapas recomendadas que os membros do centro de operações de segurança (SOC) ou da equipe de privacidade devem adotar para atender aos requisitos de relatórios pertinentes.
A capacidade de gerar relatórios diretamente no QRadar SOAR, seja sobre um único incidente ou múltiplos incidentes, facilita o compartilhamento dos detalhes de incidentes de violação entre as equipes e com a liderança, melhorando a visibilidade e a clareza em todo o processo de resposta a incidentes.
A DDI usa o IBM QRadar SOAR para acelerar as reações a ameaças e reduzir o tempo de resposta em quase 85%.
O Askari Bank cria playbooks específicos com base em seus casos de uso de negócios para receber respostas automatizadas, capacitando seus analistas a concentrar sua energia onde é mais importante.
A Silverfern IT usa o QRadar SOAR para gerenciar todo o ciclo de vida dos incidentes de segurança quando uma ameaça cibernética é detectada e automatizar processos à medida que a empresa alinha seus esforços de resposta com casos de uso predefinidos.
Conheça outros produtos IBM para aprimorar a segurança da sua empresa.
Gerencie proativamente as ameaças à sua segurança com o conhecimento, as qualificações e os profissionais do IBM Security Services.
Proteja dados confidenciais por meio de descobrimento, classificação, monitoramento e análise cognitiva automatizados.