Processo de resposta a incidentes
Solicite uma demo do QRadar SOAR Assista a uma demonstração (2:58)
Padrão de sobreposição de círculos divididos
Defina seu processo de resposta a incidentes

Ao responder a um incidente, o tempo é crítico. Você precisa tomar as decisões certas, com base nos dados certos, com os tomadores de decisão certos, tudo na ordem certa. Ter um processo bem definido e eficiente é fundamental. Automatizar o máximo possível desse processo reduz o tempo e melhora a eficácia do analista.  

É preciso planejamento, habilidades, coordenação e automação para garantir respostas a incidentes (IR) bem definidas. O NIST (link fora do ibm.com) e o SANS (link fora do ibm.com) têm diretrizes de IR que resistiram aos testes do tempo. O NIST descreve como bem definido um processo de IV com estas fases:

  • Preparação
  • Detecção e análise
  • Restrição, erradicação e recuperação
  • Atividade pós-incidente

Os playbooks do IBM Security® QRadar® SOAR oferecem a capacidade de definir um processo de IR com base em uma hierarquia simples de fases, tarefas e ações. Quando um caso é criado no QRadar SOAR, um playbook define as fases, as tarefas e as ações necessárias para a resposta.
Veja como funciona
Planejamento Crie políticas, ações de processo de RI (sequência de tarefas), documentação de incidentes, comunicação, identificação de equipe, ferramentas, acesso às ferramentas e treinamento

O QRadar SOAR Playbook Designer facilita a criação de processos padrão de resposta a incidentes ou de conjuntos de tarefas. As tarefas do Playbook fornecem aos analistas orientações para concluir cada tarefa e a ordem de execução de cada uma. Os pontos de decisão permitem que o processo seja dinâmico e ramificado para incluir tarefas adicionais ou ignorar tarefas desnecessárias. Durante um incidente, tarefas adicionais podem ser adicionadas manualmente por um analista.

O módulo Qradar SOAR Breach Response fornece aos analistas tarefas específicas para violações, abrangendo mais de 180 normas globais de privacidade, para ajudá-lo a atender aos requisitos de relatórios e evitar multas pesadas.

As tarefas definem ações, e as ações podem executar a automação — por meio de integrações — com outras ferramentas para acelerar o processo de resposta. O QRadar SOAR pode se integrar a mais de 300 soluções de segurança. Você pode começar definindo o conjunto de tarefas e a ordem de execução das tarefas e, em seguida, automatizar primeiro as ações executadas com mais frequência.
Descoberta e identificação  Identifique alertas ou incidentes que precisam ser investigados mais a fundo

A detecção automática de ameaças e a caça a ameaças fornecem alertas que devem ser revisados por um analista. Enviar esses alertas para o QRadar SOAR cria um caso e inicia o processo de resposta a incidentes (IR).

As tarefas ajudam a equipe de segurança a analisar o sistema infectado e checar o tráfego de rede em busca de movimento lateral.

Playbooks ajudam a criar o conjunto certo de tarefas, que podem variar com base no tipo de incidente ou fonte. O QRadar SOAR permite criar playbooks para diferentes tipos de ataques; eles contêm lógica para acionar tarefas diferentes com base nos atributos do ataque.

Quanto mais cedo um caso SOAR for criado, mais a automação ajudar a economizar tempo. As tarefas podem orientar novos analistas e criar documentação de caso. A função de arquivo pode ajudar a limpar casos antigos ou falsos positivos; mantendo o sistema limpo, mas permitindo um registro permanente que você pode recuperar quando precisar.
Enriquecimento e validação Coletar detalhes sobre o alerta e validar alertas como incidentes verdadeiros

Nesta fase, um analista precisa pesquisar e determinar se o alerta é real. A orientação de tarefas pode usar ações para coletar automaticamente os detalhes de várias ferramentas conectadas, reunindo todas as informações relevantes. As informações são adicionadas às tabelas de dados do caso, e isso inicia o processo de documentação do incidente.

O enriquecimento pode ser tão simples quanto acessar um diretório LDAP para adicionar o proprietário do notebook ao caso ou reunir todos os detalhes pertinentes da fonte de alerta (por exemplo, SIEM, EDR, nuvem e muito mais). Ao automatizar o enriquecimento com ações de playbook, os analistas podem se concentrar na revisão e confirmação do incidente ou marcá-lo como falso positivo.

Se algum dado foi perdido, o preenchimento do questionário de resposta a violações com o número de indivíduos afetados e suas regiões geográficas pode ajudar a determinar os regulamentos aplicáveis e os tempos de resposta e tarefas de relatório associados.

 

 Navegue pelo IBM App Exchange para obter integrações de enriquecimento e validação
Restrição e remediação Contenha o ataque e evite mais danos

Durante um ataque, o tempo é essencial. E a automatização de ações economiza tempo e reduz a curva de aprendizagem para novos analistas.  Com mais de 300 integrações e compatibilidade com padrões abertos, automatizar ações de contenção é a primeira prioridade. Após um analista confirmar o incidente, as ações podem ser executadas de forma automática ou manual por um analista. As ações nesta fase podem colocar um sistema offline ou interromper a execução de um processo.  As integrações com ferramentas de EDR, como o QRadar EDR ou o Cybereason, também podem colocar o notebook de um funcionário off-line.

Para sistemas de TI, como folha de pagamento ou recursos humanos, as automações podem procurar a TI do sistema e os proprietários de negócios em uma ferramenta de gerenciamento de ativos, como ServiceNow ou SAP. As automações podem enviar um e-mail aos proprietários informando que o sistema está infectado e adicionar os proprietários à tabela de dados de casos com comentários de que os proprietários foram notificados por e-mail ou pelo Slack.

Os playbooks podem ser dinâmicos. Portanto, no caso de um alvo de alto valor, como um notebook executivo, o tempo pode ser crítico; e os playbooks podem executar ações de contenção enquanto o analista continua realizando tarefas durante a fase de Enriquecimento e Validação. Depois que os detalhes do ataque são confirmados, as ações podem automatizar as atualizações de uma lista de bloqueio de firewall usando uma integração EDR, que ajuda a evitar movimentos laterais ou reentrada e economiza tempo dos analistas.

 Navegue pelo IBM App Exchange para obter integrações de contenção, resposta e recuperação
Recuperação e comunicação Remova qualquer código malicioso ou pontos de entrada e restaure os sistemas afetados, teste e, em seguida, coloque os sistemas afetados novamente online

Durante esta fase, as equipes de segurança podem facilitar as ações de recuperação restantes e comunicar a resolução de incidentes para toda a equipe. Analistas podem automatizar ações para criar e rastrear solicitações à TI para recriar imagens de máquinas ou restaurar a partir de backups.

Integrações bidirecionais com ferramentas como o ServiceNow permitem que analistas criem um ticket a partir do QRadar SOAR e monitorem o progresso. O ServiceNow pode atualizar o caso quando o ticket do ServiceNow estiver concluído. Você também pode automatizar ações que exigem soluções EDR, como QRadar EDR, Carbon Black ou SentinelOne, para colocar o sistema online novamente.

Lições aprendidas
Os relatórios resumem a documentação de cada resposta e ação tomada. Um relatório de incidente será resumido para a revisão para garantir que toda a documentação adequada faça parte do caso. No caso de violações de dados, a revisão das regulamentações aplicáveis ajuda a manter as organizações em conformidade com os cronogramas de relatórios associados.

Os analistas revisam as fases e documentam todos os problemas que precisam ser atualizados para melhorar a resposta a incidentes no futuro. É nesse momento que um analista documenta e recomenda melhorias, como alteração da frequência dos backups ou revisão das tarefas manuais adicionadas ao caso que devem ser incluídas no playbook para futuros incidentes.

Os relatórios ajudam a entender onde o processo de resposta a incidentes pode ser aprimorado. As equipes de segurança podem usar a plataforma QRadar SOAR para "Gerar Relatório de Incidentes". A partir daqui, os analistas podem gerar um relatório para um único incidente ou para múltiplos incidentes. Eles podem usar um modelo padrão para formatar o relatório ou personalizá-lo para atender a necessidades específicas.

 

 Saiba como gerar um relatório de incidentes
Estudos de caso Como evitar novas ameaças cibernéticas com novas abordagens de segurança

"Com a IBM, agora temos uma visão precisa de 24 horas do mundo em tempo real. Podemos ver cada endpoint, cada sistemas. E isso tornou nossa colaboração entre equipes muito mais eficiente", diz Robert Oh, diretor de operações da DDI.

 Como manter as ameaças cibernéticas sob controle 24 horas por dia, 7 dias por semana, com automação e análise

"Para que um SOC seja eficaz, priorizar nossa resposta aos riscos de segurança mais urgentes é quase tão importante quanto a detecção. A solução QRadar tornou nossa equipe muito mais eficiente para lidar com o cenário de ameaças", diz Umair Shakil, chefe da unidade central de operações de segurança do Askari Bank.

Como potencializar um SOC que fornece serviços de segurança confiáveis

"Nossos serviços de segurança cibernética Netox Trust fornecem visibilidade sobre as incógnitas [dos clientes], e nossos manuais os ajudam a oferecer respostas quando um ataque acontece", diz Marita Harju, gerente sênior de cibersegurança da Netox Oy.
Dê o próximo passo

Agende uma demonstração detalhada com um de nossos especialistas ou veja uma estimativa do custo da solução com nossa calculadora de preços.

 Solicite uma demo do QRadar SOAR Estime seu custo do QRadar SOAR