;preserveAspectRatio(xMidYMid)))
Bei der Reaktion auf einen Vorfall ist Zeit entscheidend. Sie müssen die richtigen Entscheidungen treffen, auf der Grundlage der richtigen Daten, mit den richtigen Entscheidungsträgern und in der richtigen Reihenfolge. Ein klar definierter und effizienter Prozess ist von entscheidender Bedeutung. Die größtmögliche Automatisierung dieses Prozesses reduziert den Zeitaufwand und verbessert die Effektivität der Analysten.
Eine gut definierte Vorfallsreaktion erfordert Planung, Fähigkeiten, Koordination und Automatisierung, um eine rechtzeitige und genaue Reaktion zu gewährleisten. NIST (Link befindet sich außerhalb von ibm.com) und SANS (Link befindet sich außerhalb von ibm.com) haben IR-Richtlinien zusammengestellt, die sich bereits bewährt haben. NIST beschreibt einen klar definierten IR-Prozess mit den folgenden Phasen:
- Vorbereitung
- Erkennung und Analyse
- Eindämmung, Beseitigung und Wiederherstellung
- Maßnahmen nach dem Vorfall
IBM® Security QRadar SOAR Playbooks bieten die Möglichkeit, einen IR-Prozess auf Grundlage einer einfachen Hierarchie von Phasen, Aufgaben und Aktionen zu definieren. Wenn ein Fall in QRadar SOAR erstellt wird, definiert ein Playbook die Phasen, Aufgaben und Aktionen, die für die Reaktion erforderlich sind.
QRadar SOAR Playbook Designer macht es einfach, einen Standard-Incident-Response-Prozess oder eine Reihe von Aufgaben zu erstellen. Playbook-Aufgaben bieten Analysten Anleitungen zum Ausführen der einzelnen Aufgaben und zur Reihenfolge der Ausführung der Aufgaben. Entscheidungspunkte ermöglichen es, den Prozess dynamisch zu gestalten und zu verzweigen, um zusätzliche Aufgaben einzuschließen oder unnötige Aufgaben zu überspringen. Während eines Vorfalls können zusätzliche Aufgaben manuell von einem Analysten hinzugefügt werden.
Das Qradar SOAR Breach Response-Modul bietet Analysten sicherheitsverletzungsspezifische Aufgaben, die über 180 globale Datenschutzbestimmungen abdecken, um Ihnen zu helfen, Meldepflichten zu erfüllen und hohe Geldstrafen zu vermeiden.
Aufgaben definieren Aktionen, und Aktionen können durch Integrationen mit anderen Tools automatisiert werden, um den Reaktionsprozess zu beschleunigen. QRadar SOAR kann in mehr als 300 Sicherheitslösungen integriert werden. Beginnen können Sie ganz einfach, indem Sie den Satz von Aufgaben und die Reihenfolge der Aufgabenausführung definieren und dann zuerst die am häufigsten ausgeführten Aktionen automatisieren.
Die automatische Bedrohungserkennung und -jagd liefert Warnungen, die von einem Analysten überprüft werden müssen. Durch das Senden dieser Warnungen an QRadar SOAR wird ein Fall erstellt und der Incident Response (IR)-Prozess eingeleitet.
Die Aufgaben unterstützen das Sicherheitsteam bei der Analyse des infizierten Systems und der Untersuchung des Netzwerkverkehrs auf Seitwärtsbewegungen.
Mit Playbooks können Sie die richtigen Aufgaben erstellen, die je nach Art des Ereignisses oder der Quelle variieren können. Mit QRadar SOAR können Sie Playbooks für verschiedene Arten von Angriffen erstellen. Die Playbooks enthalten Logik, die unterschiedliche Aufgaben basierend auf Attributen des Angriffs auslöst.
Je früher ein SOAR-Fall erstellt wird, desto mehr kann die Automatisierung helfen, Zeit zu sparen. Aufgaben können neue Analysten anleiten und eine Falldokumentation erstellen. Die Archivierungsfunktion kann dabei helfen, alte Fälle oder Falschmeldungen zu bereinigen, um das System sauber zu halten, aber eine dauerhafte Aufzeichnung zu ermöglichen, die Sie jederzeit abrufen können.
In dieser Phase muss ein Analyst nachforschen und feststellen, ob die Warnung gerechtfertigt ist. Bei der Aufgabenführung können Aktionen verwendet werden, um automatisch Details aus mehreren miteinander verbundenen Tools zu sammeln und alle relevanten Informationen zu erfassen. Die Informationen werden den Falldatentabellen hinzugefügt, wodurch der Prozess zur Dokumentation des Vorfalls gestartet wird.
Die Anreicherung kann so einfach sein wie das Aufrufen eines LDAP-Verzeichnisses, um den Laptop-Besitzer zum Fall hinzuzufügen, oder das Sammeln aller relevanten Details aus der Alarmquelle (z. B. SIEM, EDR, Cloud usw.). Durch die Automatisierung der Anreicherung mit Playbook-Aktionen können sich Analysten darauf konzentrieren, den Vorfall zu überprüfen und zu bestätigen oder ihn als Falschmeldung zu kennzeichnen.
Wenn Daten verloren gegangen sind, kann das Ausfüllen des Fragebogens zur Beantwortung von Sicherheitsverletzungen mit Angabe der Anzahl der betroffenen Personen und ihrer geografischen Lage dazu beitragen, die geltenden Vorschriften sowie die damit verbundenen Reaktionszeiten und Meldeaufgaben zu ermitteln.
Während eines Angriffs ist Zeit von entscheidender Bedeutung, und die Automatisierung von Aktionen spart Zeit und verkürzt die Lernkurve für neue Analysten. Bei über 300 Integrationen und der Unterstützung offener Standards hat die Automatisierung von Eindämmungsmaßnahmen oberste Priorität. Sobald ein Analyst den Vorfall bestätigt, können Aktionen automatisch oder manuell von einem Analysten ausgeführt werden. Aktionen in dieser Phase können dazu führen, dass ein System offline geschaltet wird oder die Ausführung eines Prozesses gestoppt wird. Integrationen mit EDR-Tools wie QRadar EDR oder Cybereason können auch den Laptop eines Mitarbeiters offline nehmen.
Bei IT-Systemen wie der Gehaltsabrechnung oder der Personalverwaltung können Automatisierungen die IT- und Geschäftseigentümer des Systems in einem Asset-Management-Tool wie ServiceNow oder SAP suchen. Automatisierungen können eine E-Mail an die Eigentümer senden, um sie darüber zu informieren, dass das System infiziert ist, und die Eigentümer der Falldatentabelle mit Kommentaren hinzufügen, dass die Eigentümer per E-Mail oder Slack benachrichtigt wurden.
Playbooks können dynamisch sein, sodass sie bei einem wichtigen Ziel, beispielsweise einem Laptop einer Führungskraft – wobei Zeit entscheidend sein kann – Eindämmungsmaßnahmen ausführen können, während der Analyst in der Anreicherungs- und Validierungsphase seine Aufgaben weiterbearbeitet. Nachdem die Einzelheiten des Angriffs bestätigt wurden, können Aktionen mithilfe einer EDR-Integration die Aktualisierung einer Firewall-Blockliste automatisieren. Dadurch werden laterale Bewegungen oder Wiedereintritte verhindert, sodass Analysten Zeit sparen.
Während dieser Phase können Sicherheitsteams die verbleibenden Wiederherstellungsmaßnahmen durchführen und die Lösung von Vorfällen im gesamten Team kommunizieren. Analysten können Aktionen automatisieren, um Anfragen an die IT zur Neuabbildung von Maschinen oder zur Wiederherstellung aus Backups zu erstellen und nachzuverfolgen.
Bidirektionale Integrationen mit Tools wie ServiceNow ermöglichen es Analysten, ein Ticket von QRadar SOAR aus zu erstellen und den Fortschritt zu überwachen. ServiceNow kann den Fall aktualisieren, wenn das ServiceNow-Ticket abgeschlossen ist. Sie können auch Aktionen automatisieren, die Ihre EDR-Lösung wie QRadar EDR, Carbon Black oder SentinelOne anfordern, um das System wieder online zu stellen.
Gelernte Lektionen
Die Berichterstattung fasst die Dokumentation für jede Reaktion und jede ergriffene Maßnahme zusammen. Ein Vorfallbericht wird für die Überprüfung zusammengefasst, um sicherzustellen, dass die gesamte ordnungsgemäße Dokumentation Teil des Falles ist. Im Falle einer Datenschutzverletzung trägt eine Überprüfung der geltenden Vorschriften dazu bei, dass die Unternehmen die entsprechenden Meldefristen einhalten.
Analysten überprüfen die Phasen und dokumentieren alle Probleme, die aktualisiert werden müssen, um die künftige Vorfallsreaktion zu verbessern. In diesem Fall würde ein Analyst Verbesserungen dokumentieren und empfehlen – beispielsweise die Änderung der Häufigkeit von Sicherungen oder die Überprüfung der dem Fall hinzugefügten manuellen Aufgaben –, die dem Playbook für zukünftige Vorfälle hinzugefügt werden sollten.
Die Berichterstattung hilft dabei zu verstehen, wo der Prozess zur Reaktion auf Vorfälle verbessert werden kann. Sicherheitsteams können die QRadar SOAR-Plattform nutzen, um „einen Vorfallbericht zu generieren“. Von hier aus können Analysten einen Bericht zu einem einzelnen Vorfall oder zu mehreren Vorfällen generieren. Sie können eine Standardvorlage zum Formatieren des Berichts verwenden oder ihn an spezifische Anforderungen anpassen.
„Mit IBM haben wir jetzt rund um die Uhr einen genauen Überblick über die Welt in Echtzeit. Wir können jeden Endpunkt und jedes System sehen. Das hat unsere teamübergreifende Zusammenarbeit viel effizienter gemacht“, erklärt Robert Oh, Chief Operating Officer bei DDI.
„Damit ein SOC effektiv ist, ist die Fähigkeit, bei der Reaktion auf die dringendsten Sicherheitsrisiken Prioritäten zu setzen, fast so wichtig wie die Erkennung.“ Die QRadar-Lösung [...] hat unser Team bei der Bewältigung der Bedrohungslandschaft viel effektiver gemacht“, betont Umair Shakil, Head of Security Operations Center Unit, Askari Bank.
„Unsere Netox Trust-Cybersicherheitsdienste bieten einen Einblick in die Unwägbarkeiten [der Kunden], und unsere Playbooks helfen ihnen, im Falle eines Angriffs zu reagieren“, so Marita Harju, Senior Manager, Cyber Security, Netox Oy.