Le SOAR (« Security Orchestration, Automation and Response ») est un type de solution logicielle qui permet aux équipes de sécurité d’intégrer et de coordonner des outils de sécurité distincts, d’automatiser les tâches répétitives et de rationaliser les workflows de réponse aux incidents et aux menaces.
Dans les grandes organisations, les centres des opérations de sécurité (SOC) s’appuient sur de nombreux outils pour suivre les cybermenaces et y répondre, souvent manuellement.
Les plateformes SOAR fournissent aux SOC une console centrale où ils peuvent intégrer ces outils à des workflows optimisés de réponse aux menaces et automatiser les tâches répétitives de bas niveau dans ces workflows. Cette console permet également aux SOC de gérer toutes les alertes de sécurité générées par ces outils sur une seule interface.
En rationalisant le tri des alertes et en veillant à ce que les différents outils de sécurité fonctionnent ensemble, les SOAR aident les SOC à réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), améliorant ainsi la posture de sécurité globale. Détecter les menaces de sécurité et y répondre plus rapidement peut atténuer l’impact des cyberattaques. Selon le dernier rapport d’IBM sur le coût d’une violation de données, si le cycle de vie d’une violation de données est plus court, les coûts associés ont tendance à être moindres. Les violations résolues en moins de 200 jours coûtent en moyenne 1,02 million de dollars de moins aux entreprises, soit une différence de 23 %.
Obtenez des informations pour mieux gérer le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
La technologie SOAR est le fruit du regroupement de trois outils de sécurité. Selon Gartner, qui a inventé le terme « SOAR » en 2015, les plateformes SOAR combinent – en une seule offre – les fonctions des plateformes de réponse aux incidents de sécurité, des plateformes d’orchestration et d’automatisation de la sécurité et des plateformes de renseignement sur les menaces.
Pour comprendre le fonctionnement des solutions SOAR modernes, il peut être utile de les examiner selon leurs fonctionnalités principales : orchestration de la sécurité, automatisation de la sécurité et réponse aux incidents.
L’« orchestration de la sécurité » désigne la manière dont les plateformes SOAR connectent et coordonnent les outils matériels et logiciels du système de sécurité d’une entreprise.
Les SOC utilisent diverses solutions pour surveiller les menaces et y répondre, comme les pare-feu, les flux de renseignements sur les menaces et les outils de protection des points de terminaison. Même les processus de sécurité les plus simples peuvent reposer sur plusieurs outils. Par exemple, un analyste en sécurité qui enquête sur un e-mail d’hameçonnage peut avoir besoin d’une passerelle de messagerie sécurisée, d’une plateforme de renseignements sur les menaces et d’un logiciel antivirus pour identifier, comprendre et résoudre la menace. Ces outils proviennent souvent de différents fournisseurs et peuvent ne pas s’intégrer facilement, de sorte que les analystes doivent passer manuellement d’un outil à l’autre au fur et à mesure de leur investigation.
Avec le SOAR, les SOC peuvent unifier ces outils dans des workflows d’opérations de sécurité (SecOps) cohérents et reproductibles. Les technologies SOAR utilisent des interfaces de programmation des applications (API), des plug-ins prédéfinis et des intégrations personnalisées pour connecter des outils de sécurité (et certains outils non sécurisés). Une fois ces outils intégrés, les SOC peuvent aligner leurs activités sur les protocoles.
Les protocoles sont des diagrammes de processus que les analystes de sécurité peuvent utiliser pour décrire les étapes des processus de sécurité standard tels que la détection des menaces, l’investigation et la réponse. Les protocoles peuvent englober plusieurs outils et plusieurs applications. Ils peuvent être entièrement automatisés, entièrement manuels ou une combinaison de tâches automatisées et manuelles.
Les solutions de sécurité SOAR peuvent automatiser les tâches répétitives et chronophages de bas niveau, comme l’ouverture et la clôture des tickets de support, l’enrichissement des événements et la hiérarchisation des alertes. Les SOAR peuvent également déclencher les actions automatisées des outils de sécurité intégrés. Cela signifie que les analystes de sécurité peuvent utiliser les workflows des protocoles pour relier entre eux plusieurs outils et automatiser des opérations de sécurité complexes.
Par exemple, réfléchissez à la manière dont une plateforme SOAR pourrait automatiser une enquête sur un ordinateur portable compromis. La première indication que quelque chose ne va pas provient d’une solution de détection et réponse des terminaux (EDR), qui détecte les activités suspectes sur l’ordinateur portable. L’EDR envoie une alerte au SOAR, qui déclenche l’exécution d’un protocole prédéfini. En premier lieu, le SOAR ouvre un ticket pour l’incident. Il enrichit l’alerte avec des données provenant de flux intégrés de renseignements sur les menaces et d’autres outils de sécurité. Ensuite, le système SOAR exécute des réponses automatisées, telles que le déclenchement d’un outil dedétection et réponse du réseau (NDR) pour mettre en quarantaine le terminal ou indiquer à un logiciel antivirus de trouver et de supprimer les logiciels malveillants. Enfin, le SOAR transmet le ticket à un analyste de sécurité, qui détermine si l’incident a été résolu ou si une intervention humaine est nécessaire.
Certains SOAR incluent l’intelligence artificielle (IA) et le machine learning, qui analysent les données des outils de sécurité et recommandent des moyens de gérer les menaces à l’avenir.
Les capacités d’orchestration et d’automatisation du SOAR lui permettent de servir de console centrale pour la réponse aux incidents de sécurité (IR). Le rapport d’IBM sur le coût d’une violation de données a révélé que les organisations qui disposent à la fois d’une équipe de RI et de protocoles de test des plan de RI identifiaient les violations 54 jours plus rapidement que celles qui n’avaient ni l’un ni l’autre.
Les analystes de sécurité peuvent utiliser les SOAR pour enquêter sur les incidents et les résoudre sans avoir à jongler entre différents outils. Comme les plateformes derenseignements sur les menaces, les SOAR regroupent des indicateurs et des alertes provenant de flux externes et d’outils de sécurité intégrés dans un tableau de bord centralisé. Les analystes peuvent corréler les données provenant de différentes sources, filtrer les faux positifs, hiérarchiser les alertes et identifier les menaces spécifiques auxquelles ils sont confrontés. Ils peuvent ensuite réagir en déclenchant les protocoles appropriés.
Les SOC peuvent également utiliser les outils SOAR pour les audits post-incidents et les processus de sécurité plus proactifs. Les tableaux de bord SOAR peuvent aider les équipes de sécurité à comprendre comment une menace particulière a pénétré le réseau et comment prévenir des menaces similaires à l’avenir. De même, les équipes de sécurité peuvent utiliser les données SOAR pour identifier les menaces en cours inaperçues et concentrer leurs efforts de traque des menaces au bon endroit.
En intégrant des outils de sécurité et en automatisant les tâches, les plateformes SOAR sont capables de rationaliser les workflows de sécurité courants tels que la gestion des cas, la gestion des vulnérabilités et la réponse aux incidents. Les avantages de cette rationalisation sont notamment les suivants :
Les SOC peuvent être confrontés à des centaines ou même à des milliers d’alertes de sécurité par jour. La baisse de la vigilance est un risque constant, et les analystes peuvent passer à côté de signes importants de l’activité des menaces. Les SOAR peuvent rendre les alertes plus faciles à gérer en centralisant les données de sécurité, en enrichissant les événements et en automatisant les réponses. Les SOC peuvent ainsi traiter plus d’alertes tout en réduisant les temps de réponse.
Les SOC peuvent utiliser des protocoles SOAR pour définir des workflows de réponse aux incidents standard et évolutifs pour les menaces courantes. Plutôt que de traiter les menaces au cas par cas, les analystes de sécurité peuvent déclencher le protocole approprié pour une résolution efficace.
Les SOC peuvent utiliser les tableaux de bord SOAR pour obtenir des informations sur leurs réseaux et les menaces auxquelles ils sont confrontés. Ces informations peuvent les aider à repérer les faux positifs, à mieux hiérarchiser les alertes et à sélectionner les processus de réponse appropriés.
Les SOAR centralisent les données de sécurité et les processus de réponse aux incidents afin que les analystes puissent travailler ensemble sur les enquêtes. Les SOAR peuvent également permettre aux SOC de partager des indicateurs de sécurité avec des parties extérieures, comme les RH, les services juridiques et les forces de l’ordre.
Les outils SOAR, SIEM et XDR ont certaines fonctions basiques en commun, mais chacun possède ses propres fonctionnalités et ses propres cas d’utilisation.
Les solutions de gestion des événements et des informations de sécurité (SIEM) collectent des informations provenant d’outils de sécurité internes, les regroupent dans un journal centralisé et signalent les anomalies. Les SIEM sont principalement utilisés pour enregistrer et gérer de grands volumes de données d’événements de sécurité.
La technologie SIEM est d’abord apparue comme un outil de reporting de conformité. Les SOC ont adopté les SIEM lorsqu’ils ont compris que les données SIEM pouvaient servir de base aux opérations de cybersécurité. Les solutions SOAR ont été créées pour ajouter les fonctionnalités axées sur la sécurité qui font défaut à la plupart des SIEM standard, telles que l’orchestration, l’automatisation et les fonctions de console.
Les solutions XDR (« Extended Detection and Response ») collectent et analysent les données de sécurité des terminaux, des réseaux et du cloud. Comme les SOAR, elles peuvent répondre automatiquement aux incidents de sécurité. Cependant, les XDR sont capables d’automatisations de réponse aux incidents plus complexes et plus complètes que les SOAR. Les XDR peuvent également simplifier les intégrations de sécurité, car ils nécessitent souvent moins d’expertise et/ou d’investissements que les intégrations SOAR. Certains XDR sont des solutions pré-intégrées d’un seul fournisseur, tandis que d’autres peuvent connecter des outils de sécurité de plusieurs fournisseurs. Les XDR sont souvent utilisés pour la détection des menaces en temps réel, le tri des incidents et la traque automatisée des menaces.
Les équipes SecOps des grandes entreprises utilisent souvent une combinaison de ces outils. Cependant, les fournisseurs brouillent les frontières entre eux en déployant des solutions SIEM capables de répondre aux menaces et des XDR avec un enregistrement de données de type SIEM. Certains experts en sécurité pensent que le XDR pourrait un jour absorber les autres outils, de la même manière que le SOAR a autrefois combiné ses prédécesseurs.
IBM Security QRadar SOAR est conçu pour aider votre équipe de sécurité à répondre aux cybermenaces en toute confiance, à automatiser intelligemment et à collaborer de manière cohérente.
La suite IBM Security QRadar XDR fournit un workflow unifié unique sur vos outils pour détecter et éliminer les menaces plus rapidement.
Aidez votre équipe à améliorer son plan de réponse aux incidents et à minimiser l’impact d’une violation en préparant votre personnel, vos processus et vos commandes de réponse aux incidents.
Obtenez nos dernières informations sur l’évolution du paysage des menaces et des recommandations sur la manière de gagner du temps et de limiter les pertes.
Une solution SIEM permet aux entreprises d’identifier les menaces et les vulnérabilités potentielles qui perturbent leurs activités.
Créez une plateforme d’opérations et d’analyse de sécurité étroitement intégrée qui accélère les activités de sécurité et permet au personnel de se concentrer sur les problèmes prioritaires.