IBM QRadar SOAR (orquestación, automatización y respuesta de seguridad) se ha creado para acelerar y mejorar los procesos de respuesta a incidentes de sus equipos de operaciones de seguridad. QRadar SOAR utiliza la automatización y la inteligencia para permitir a los analistas tomar medidas rápidas y decisivas contra posibles incidentes de seguridad. Con un galardonado Playbook Designer, más de 300 integraciones y un potente módulo Breach Response, QRadar SOAR está diseñado para ayudarle a escalar y optimizar su equipo de seguridad.
Gestión de casos
Las sofisticadas capacidades de gestión de casos de QRadar SOAR proporcionan a los analistas una visión accesible del contexto adicional del incidente para acelerar y mejorar su proceso de investigación. Además, las visualizaciones del panel de control y la elaboración de informes de casos ayudan a resumir y compartir métricas y hallazgos clave entre los equipos, proporcionando visibilidad en toda la organización.
- QRadar SOAR ofrece a los analistas la posibilidad de profundizar más en la investigación de un caso mediante la visualización de artefactos. La pestaña "Evidencia" dentro de cada caso proporciona hallazgos relevantes y artefactos adjuntos a cada incidente, dando una visión centralizada de contexto adicional. Los analistas también pueden documentar hallazgos y reflexiones adicionales en las secciones de adjuntos y notas.
- El panel de control de análisis de QRadar SOAR muestra varios cuadros y gráficos para ver la información estadística, en función de su nivel de acceso y permisos. Los usuarios pueden personalizar la vista del panel de control basándose en una selección de widgets predefinidos, como tablas dinámicas y gráficos, para comprender mejor el MTTD, el MTTR, los casos abiertos/cerrados por propietario, por tipo, por duración, por gravedad, etc.
La capacidad de generar informes directamente desde QRadar SOAR, ya sea sobre un incidente concreto o sobre varios, facilita el intercambio de información entre equipos y con la dirección para mejorar la visibilidad y la claridad en todo el proceso de respuesta a incidentes.
Guías de estrategias y automatización
Ganador del premio de diseño Red Dot Design Award, Playbook Designer de QRadar SOAR es una potente herramienta creada para ayudar a sus equipos de seguridad a acelerar la respuesta a incidentes. Con una funcionalidad dinámica y low-code, se pueden diseñar guías de estrategias totalmente automatizadas en cuestión de minutos y sin ningún tipo de codificación.
Playbook Designer es una interfaz gráfica de usuario intuitiva, diseñada específicamente para que los ingenieros de automatización creen y personalicen respuestas tanto manuales como automáticas. Playbook Designer proporciona una biblioteca de tareas, scripts, funciones, subguías de estrategias y puntos de condición prediseñados disponibles para su uso inmediato. La experiencia del usuario ofrece la funcionalidad de hacer clic y arrastrar para añadir nodos al lienzo, y la posibilidad de conectar esos nodos de innumerables maneras para ejecutar su proceso con la lógica que desee.
Data Navigator, lanzado en la v49.0 de QRadar SOAR, es un marco de configuración de funciones low-code disponible en Playbook Designer. Data Navigator permite configurar las entradas de función en cuestión de segundos y con unos pocos clics, sin necesidad de escribir código. En versiones anteriores de QRadar SOAR, el método de definición de entradas para funciones y subguías de estrategias requería conocimientos de Python y scripting. Con Data Navigator, Playbook Designer proporciona ahora entradas dinámicas y de subguías de estrategias en un menú intuitivo de esquema de guía de estrategias. Para los usuarios que sigan prefiriendo Python para las configuraciones de scripting, seguimos exponiendo Data Navigator tanto en la pestaña de campos como en las experiencias de la pestaña de scripting.
Playbook Go-Back, lanzado en la v51.0.1.0 en QRadar SOAR, es una mejora de nuestra funcionalidad de bucle que permite a los diseñadores de guías de estrategias y a los ingenieros de automatización diseñar flujos flexibles y lógicos en dichas guías, permitiendo que el proceso salte a cualquier otro nodo en función de las condiciones definidas. Su flujo puede entonces volver a ejecutar funciones y tareas, mientras le muestra de forma intuitiva exactamente lo que se ha hecho y rastrea la información relacionada en la pista de auditoría.
Playbook Progress Visualization, lanzada en la v49.0 de QRadar SOAR, introduce una nueva forma de ver el progreso de una guía de estrategias. Los analistas de seguridad pueden monitorizar con mayor facilidad el progreso de una instancia de guía de estrategias en ejecución, y ver el estado de cada nodo a medida que la guía progresa, tal y como ésta fue diseñada por el ingeniero del SOC. Esto permite al analista tomar decisiones más rápidas y fiables sobre dónde puede ser necesario intervenir para hacer avanzar el caso o depurar una automatización.
Playbook Instances, lanzado en la v51.0 de QRadar SOAR, proporciona una nueva pestaña al panel de control de guías de estrategias donde los desarrolladores de éstas pueden obtener una visión holística de todas las guías en ejecución dentro de su instancia de QRadar SOAR. El filtrado por estado de la guía de estrategias, tipo de activación o tipo de objeto, así como filtros de fecha y hora más granulares, permite a los desarrolladores de guías determinar de forma rápida y fiable dónde necesitan intervenir para resolver problemas, ya sea a nivel de caso o con la guía de estrategias de origen.
- La compatibilidad nativa con JSON, lanzada en la v51.0.0.1 de QRadar SOAR, permite ahora datos JSON nativos en los casos. Ya no es necesario almacenar JSON como una cadena engorrosa y casi inutilizable. Los datos de entrada JSON pueden utilizarse ahora para rellenar tablas de datos, campos de incidentes, entradas de guías de estrategias y mucho más. SOAR también facilita el consumo de la información JSON formateando de manera automática los datos con sangrías claras, codificación por colores y posibilidad de contraerlos.
Integraciones y aplicaciones SOAR
QRadar SOAR proporciona más de 300 integraciones para ayudarle a racionalizar sus procesos de orquestación y automatización de respuesta a incidentes.
IBM App Exchange es un recurso integral para explorar, compartir y descargar integraciones desarrolladas por IBM, proveedores externos y la comunidad de seguridad en general. Estas integraciones están diseñadas para mejorar y ampliar las capacidades de las soluciones de IBM Security. Para buscar entre las más de 300 integraciones de QRadar SOAR disponibles, solo tiene que filtrar en la pestaña "QRadar SOAR".
El énfasis en el contenido de respuesta, disponible para su uso inmediato, ha seguido siendo un gran enfoque para QRadar SOAR. El contenido prediseñado de la guía de estrategias ayuda a agilizar el desarrollo de la automatización y a reducir el tiempo de diseño. Para respaldar esto, las aplicaciones de QRadar SOAR de IBM App Exchange (tanto las integraciones existentes como las nuevas en red) se están mejorando con guías de estrategias de muestra dentro de la propia integración de SOAR. Ahora, puede filtrar en "Tipo de contenido" en IBM App Exchange y seleccionar "Guías de estrategias" para ver más de 60 integraciones SOAR que están equipadas con guías. Una vez configurada la integración SOAR en su sistema, las guías de estrategias asociadas se añadirán de forma automática a la biblioteca de las mismas.
App Host (antes conocido como Edge Gateway) es un entorno de implementación de contenedores basado en Kubernetes que aloja contenedores de aplicaciones. Después de descargar una integración SOAR desde IBM App Exchange, el usuario la importará a su entorno QRadar SOAR, configurará la integración y la implementará en App Host para habilitar la aplicación para su uso.
Respuesta a la infracción
QRadar SOAR Breach Response se ha creado para simplificar el cumplimiento de las leyes de notificación de vulneraciones de datos después de que se produzca un incidente de seguridad. Permite a sus analistas del SOC tomar las medidas correctas y colaborar con los miembros del equipo adecuados para responder a las violaciones de seguridad que afecten a información sensible, datos personales, información de identificación personal (PII) y otros tipos de datos. Con su integración del SOAR y la elaboración de informes sobre vulneraciones de datos, Breach Response proporciona a las organizaciones compatibilidad con más de 200 normativas sobre privacidad de todo el mundo, lo que permite a los equipos de seguridad de la información integrar las tareas de elaboración de informes sobre privacidad en sus guías de estrategias de respuesta a incidentes.
En el corazón de QRadar SOAR Breach Response se encuentra la base de conocimientos global. Actualizada de manera regular, esta base de datos incluye requisitos de notificación de vulneraciones de datos en todo el mundo, como el RGPD y la CCPA, así como normativas específicas del sector que tienen requisitos de notificación de vulneraciones de la privacidad, como la HIPAA. Un equipo interno de profesionales de la privacidad de datos gestiona la base de conocimientos global y la mantiene actualizada mediante la comunicación con reguladores, agencias gubernamentales, profesionales de la privacidad de la base de clientes de IBM y la comunidad de la privacidad en general.
SOAR Breach Response puede acelerar la respuesta a las vulneraciones de datos integrando tareas específicas de privacidad directamente en la guía de estrategias general del incidente. Estas tareas de privacidad detallan los pasos recomendados que los miembros del centro de operaciones de seguridad (SOC) o del equipo de privacidad deben seguir para abordar los requisitos de elaboración de informes pertinentes.
La capacidad de generar informes directamente desde QRadar SOAR, ya sea sobre un incidente concreto o sobre varios, facilita el intercambio de los detalles de los incidentes de vulneraciones entre equipos y con la dirección para mejorar la visibilidad y la claridad en todo el proceso de respuesta a incidentes.
DDI utiliza IBM QRadar SOAR para acelerar las reacciones ante las amenazas y reducir en casi un 85 % los tiempos de respuesta.
Askari Bank crea guías de estrategias específicas basadas en sus casos de uso empresarial para recibir respuestas automatizadas, lo que permite a sus analistas centrar sus esfuerzos donde más importa.
Silverfern IT utiliza QRadar SOAR para gestionar todo el ciclo de vida de los incidentes de seguridad cuando se detecta una ciberamenaza y automatizar los procesos conforme la empresa alinea sus esfuerzos de respuesta con casos de uso predefinidos.
Explore otros productos de IBM para mejorar la seguridad de su empresa.
Gestione de forma proactiva sus amenazas de seguridad con la experiencia, los conocimientos y el personal de IBM Security Services.
Proteja los datos confidenciales utilizando el descubrimiento automatizado, la clasificación, la supervisión y la analítica cognitiva.