;preserveAspectRatio(xMidYMid)))
定义事件响应流程
对网络安全事件做出响应时,每一秒都至关重要。您必须基于正确的数据、联合正确的决策者、按照正确的顺序,做出正确的决策。要想快速做出响应,就必须制定明确且高效的事件响应计划。
明确的事件响应 (IR) 计划需要进行规划、运用相关技能、具备协调能力并实现自动化,以确保及时准确的响应。NIST 概述了经受住了时间考验的 IR 指南。明确定义的 IR 流程应该包含以下阶段:
准备工作
检测和分析
遏制、根除与恢复
事后活动
IBM QRadar SOAR 可助力您的组织定义和执行强大的 IR 流程。QRadar SOAR 融入了智能和自动化,采用简单的阶段、任务和操作层次结构来帮助您的团队快速果断地对网络安全事件做出响应。
什么是事件响应?
SOAR 事件响应成功案例 - Doosan Digital Innovation (DDI)
IBM QRadar SOAR 被评为领导者:查看 KuppingerCole 报告
借助 QRadar SOAR 屡获殊荣的运行手册设计器,您可以轻松构建标准事件响应流程并让团队准备好做出响应。QRadar SOAR 包含 13 个现成可用的运行手册,涵盖一般事件响应用例,能够扩展您的响应能力。
运行手册任务为响应人员提供了有关如何在修复过程中以及按什么顺序处理后续步骤的规范性指导。决策点有助于构建一个可根据需要包含或跳过任务的动态流程。随着事件的发展和了解更多信息,分析人员可以手动添加其他任务。
威胁情报基于自动威胁检测和威胁搜寻标记警报,需要分析人员进行审核。将这些警报发送到 QRadar SOAR 会创建案例,并启动事件响应计划。
然后,分析人员可以对案例进行审核,并确定警报是否有效且需要采取行动。分析人员继续进行调查时,可以调整其自动化运行手册,以最恰当的方式对环境中的威胁做出响应。这项优势让事件响应服务变得更加高效。
在涉及高级威胁、内部威胁、勒索软件、恶意软件、网络钓鱼、可疑活动和其他网络威胁的攻击中,时间至关重要。QRadar SOAR 的自动化功能旨在节省分类时间,并缩短新手分析人员的学习曲线。凭借 300 多个集成和对开放标准的支持,QRadar SOAR 拥有有效的事件响应工具,能够自动采取遏制措施,帮助最大限度缩小爆炸半径。
分析人员对事件进行了调查并收集了更多背景信息和相关信息之后,可以更新 QRadar SOAR 案例的事件类型。相关操作会自动填充到任务列表中,指导分析人员完成事件响应流程。
借助与第三方安全工具的集成,分析人员可以通过改进工作流和减少应用事件流程中应用程序之间的轮换量,来更快速地采取行动。IBM App Exchange(ibm.com 外部链接)提供了有关数百项 QRadar SOAR 集成的信息,可帮助您的团队优化安全事件响应。
安全事件得到解决后,QRadar SOAR 会助力开展一系列事后活动来启动和跟踪恢复工作。借助 ITSM 工具(例如 Salesforce Service Cloud 或 ServiceNow)的集成,安全团队能够使用 QRadar SOAR 为受影响的系统创建双向工单。
报告功能总结了 IR 过程中采取的每次响应和行动的相关文档。这些报告有助于了解事件管理方面的可改进之处。这可以包括更新添加到 QRadar SOAR 运行手册中的手动任务,使其更具体地针对您的组织,并更高效地应对未来事件。
发生数据泄露时,审查适用法规有助于组织遵守相关报告时间线。QRadar SOAR 泄露响应模块旨在提供全程帮助,确保合规性并避免高昂的经济处罚。
“借助 IBM,我们现在可以 24 小时实时准确地了解世界。我们可以看到每个端点、每个系统。因此提升了我们跨团队协作的效率。”DDI 首席运营官 Robert Oh 表示。
“为了使 SOC 发挥作用,优先响应最紧迫的安全风险的能力几乎与检测一样重要。QRadar 解决方案使我们的团队在应对威胁方面更加有效。”Askari Bank 安全运营中心部门主管 Umair Shakil 说道。
Netox Oy 网络安全高级经理 Marita Harju 表示:“我们的 Netox Trust 网络安全服务可以帮助客户发现未知情况,而我们的运行手册可以帮助客户在攻击发生时予以响应。”