;preserveAspectRatio(xMidYMid)))
Saat merespons suatu kejadian, waktu sangatlah penting. Anda perlu membuat keputusan yang tepat, berdasarkan data yang tepat, dengan pengambil keputusan yang tepat, semuanya dalam urutan yang tepat. Memiliki proses yang terdefinisi dengan baik dan efisien sangatlah penting. Mengotomatiskan sebanyak mungkin proses tersebut akan mengurangi waktu dan meningkatkan efektivitas analis.
Respons insiden (IR) yang terdefinisi dengan baik memerlukan perencanaan, keterampilan, koordinasi, dan otomatisasi untuk memastikan respons yang tepat waktu dan akurat. NIST (tautan berada di luar ibm.com) dan SANS (tautan berada di luar ibm.com) memiliki panduan IR yang telah teruji oleh waktu. NIST menguraikan proses IR yang terdefinisi dengan baik memiliki fase-fase berikut ini:
- Persiapan
- Deteksi dan analisis
- Pengendalian, pemberantasan, dan pemulihan
- Kegiatan Pasca Insiden
Buku pedoman IBM Security® QRadar® SOAR memberikan kemampuan untuk mendefinisikan proses IR berdasarkan hierarki fase, tugas, dan tindakan yang sederhana. Ketika sebuah kasus dibuat di QRadar SOAR, sebuah buku pedoman mendefinisikan fase, tugas, dan tindakan yang diperlukan untuk merespons.
QRadar SOAR Playbook Designer memudahkan untuk membangun proses respons insiden standar atau serangkaian tugas. Tugas-tugas Playbook memberikan panduan kepada analis tentang cara menyelesaikan setiap tugas dan urutan pelaksanaan tugas. Poin keputusan memungkinkan proses menjadi dinamis dan bercabang untuk menyertakan tugas tambahan atau melewatkan tugas yang tidak perlu. Selama insiden, tugas tambahan dapat ditambahkan secara manual oleh analis.
Modul Respons Pelanggaran Qradar SOAR memberikan tugas khusus pelanggaran kepada analis, yang mencakup lebih dari 180 peraturan privasi global, untuk membantu Anda memenuhi persyaratan pelaporan dan menghindari denda yang besar.
Tugas menentukan tindakan, dan tindakan dapat dijalankan secara otomatis-melalui integrasi-dengan alat lain untuk mempercepat proses respons. QRadar SOAR dapat berintegrasi dengan lebih dari 300 solusi keamanan. Anda cukup memulai dengan menentukan serangkaian tugas dan urutan pelaksanaan tugas, lalu mengotomatiskan tindakan yang paling sering dijalankan terlebih dahulu.
Deteksi ancaman otomatis dan perburuan ancaman memberikan peringatan yang perlu ditinjau oleh analis. Mengirimkan peringatan tersebut ke QRadar SOAR akan menciptakan sebuah kasus dan memulai proses respons insiden (IR).
Tugas membantu tim keamanan untuk menganalisis sistem yang terinfeksi dan menganalisis lalu lintas jaringan untuk pergerakan lateral.
Playbook membantu menciptakan serangkaian tugas yang tepat, yang dapat bervariasi berdasarkan jenis insiden atau sumbernya. QRadar SOAR memungkinkan Anda untuk membuat buku pedoman untuk berbagai jenis serangan; buku pedoman berisi logika untuk memicu tugas yang berbeda berdasarkan atribut serangan.
Semakin awal kasus SOAR dibuat, semakin banyak otomatisasi yang dapat membantu menghemat waktu. Tugas dapat memandu analis baru dan membuat dokumentasi kasus. Fungsi arsip dapat membantu membersihkan kasus lama atau positif palsu, menjaga sistem tetap bersih, tetapi memungkinkan catatan permanen yang selalu dapat Anda ambil.
Pada fase ini, seorang analis perlu meneliti dan menentukan apakah peringatan itu nyata. Panduan tugas dapat menggunakan tindakan untuk secara otomatis mengumpulkan detail dari beberapa alat yang terhubung, mengumpulkan semua informasi yang relevan. Informasi tersebut ditambahkan ke tabel data kasus, dan ini memulai proses dokumentasi insiden.
Pengayaan bisa sesederhana membuka direktori LDAP untuk menambahkan pemilik laptop ke dalam kasus atau mengumpulkan semua detail terkait dari sumber peringatan (misalnya, SIEM, EDR, cloud, dan lainnya). Dengan mengotomatiskan pengayaan dengan tindakan playbook, analis dapat fokus untuk meninjau dan mengonfirmasi insiden atau menandainya sebagai positif palsu.
Jika ada data yang hilang, mengisi kuesioner respons pelanggaran dengan jumlah individu yang terkena dampak dan geografis mereka dapat membantu menentukan peraturan yang berlaku dan waktu respons serta tugas pelaporan yang terkait.
Waktu adalah hal yang sangat penting dalam sebuah serangan, dan mengotomatiskan tindakan akan menghemat waktu dan mengurangi kurva pembelajaran bagi analis baru. Dengan lebih dari 300 integrasi dan dukungan untuk standar terbuka, mengotomatiskan tindakan penahanan adalah prioritas utama. Setelah seorang analis mengkonfirmasi insiden, tindakan dapat dijalankan secara otomatis atau manual oleh analis. Tindakan dalam fase ini dapat membuat sistem offline atau menghentikan proses dari eksekusi. Integrasi dengan alat EDR, seperti QRadar EDR atau Cybereason, juga dapat membuat laptop karyawan offline.
Untuk sistem TI, seperti penggajian atau sumber daya manusia, otomatisasi dapat mencari sistem TI dan pemilik bisnis di alat manajemen aset seperti ServiceNow atau SAP. Otomatisasi dapat mengirim email ke pemilik untuk memberi tahu mereka bahwa sistem terinfeksi, dan menambahkan pemilik ke tabel data kasus dengan komentar bahwa pemilik telah diberitahu melalui email atau Slack.
Playbook dapat bersifat dinamis, sehingga jika ada target bernilai tinggi, seperti laptop eksekutif, waktu dapat menjadi sangat penting dan playbook dapat menjalankan tindakan penahanan sementara analis melanjutkan tugas selama fase Pengayaan dan Validasi. Setelah rincian serangan dikonfirmasi, tindakan dapat mengotomatiskan pembaruan pada daftar blokir firewall dengan menggunakan integrasi EDR, yang membantu mencegah pergerakan lateral atau masuk kembali, sehingga menghemat waktu analis.
Selama fase ini, tim keamanan dapat memfasilitasi tindakan pemulihan yang tersisa dan mengkomunikasikan resolusi insiden di seluruh tim. Analis dapat mengotomatiskan tindakan untuk membuat dan melacak permintaan ke TI untuk mengubah citra mesin atau memulihkan dari cadangan.
Integrasi dua arah dengan alat bantu seperti ServiceNow memungkinkan analis untuk membuat tiket dari QRadar SOAR dan memantau kemajuan. ServiceNow dapat memperbarui kasus ketika tiket ServiceNow selesai. Anda juga dapat mengotomatiskan tindakan yang meminta solusi EDR Anda seperti QRadar EDR, Carbon Black, atau SentinelOne, untuk mengembalikan sistem ke online.
Pelajaran
Pelaporan merangkum dokumentasi untuk setiap respons dan tindakan yang diambil. Laporan insiden akan dirangkum untuk tinjauan guna memastikan semua dokumentasi yang tepat merupakan bagian dari kasus tersebut. Dalam kasus pelanggaran data, tinjauan terhadap peraturan yang berlaku membantu menjaga organisasi agar tetap mematuhi jadwal pelaporan terkait.
Analis meninjau fase-fase tersebut dan mendokumentasikan masalah apa pun yang perlu diperbarui untuk meningkatkan respons insiden di masa mendatang. Ini adalah saat seorang analis akan mendokumentasikan dan merekomendasikan perbaikan seperti mengubah frekuensi backup atau meninjau tugas manual yang ditambahkan ke kasus yang harus ditambahkan ke dalam buku pedoman untuk insiden di masa depan.
Pelaporan membantu dalam memahami di mana proses respons insiden dapat ditingkatkan. Tim keamanan dapat menggunakan platform QRadar SOAR untuk “Buat Laporan Insiden”. Dari sini, analis dapat membuat laporan tentang satu insiden atau beberapa insiden. Mereka dapat menggunakan templat standar untuk memformat laporan atau menyesuaikannya untuk memenuhi kebutuhan tertentu.
"Bersama IBM, kami sekarang memiliki pandangan akurat 24 jam tentang dunia secara real time. Kita dapat melihat setiap titik akhir, setiap sistem. Dan hal ini membuat kolaborasi lintas tim kami menjadi jauh lebih efisien," kata Robert Oh, Chief Operating Officer, DDI.
Agar SOC menjadi efektif, kemampuan untuk memprioritaskan respons kami terhadap risiko keamanan yang paling mendesak hampir sama pentingnya dengan deteksi. Solusi QRadar... telah membuat tim kami jauh lebih efektif dalam menangani lanskap ancaman," kata Umair Shakil, Kepala Unit Pusat Operasi Keamanan, Askari Bank.
"Layanan keamanan siber Netox Trust kami memberikan visibilitas ke dalam hal-hal yang tidak diketahui [pelanggan], dan buku pedoman kami membantu mereka merespons ketika serangan terjadi," kata Marita Harju, Manajer Senior, Keamanan Siber, Netox Oy.