IBM QRadar SOAR (orchestration, automatisation et réponse aux incidents de sécurité) est conçue pour accélérer et améliorer les processus de réponse aux incidents de vos équipes de sécurité Optimisée par l’expérience d'analyse unifiée (UAX), QRadar SOAR utilise l'automatisation et l'intelligence pour permettre à vos analystes d'agir rapidement et efficacement face aux menaces potentielles. Avec un concepteur de protocoles primé, plus de 300 intégrations et un puissant module de réponse aux incidents, QRadar SOAR vous aide à faire évoluer et à optimiser votre équipe de sécurité.
Expérience d'analyse unifiée (UAX)
L'expérience d'analyse unifiée (Unified Analyst Experience ou UAX) est une technologie puissante conçue pour augmenter considérablement la vitesse et l'efficacité de vos analystes tout au long du cycle de vie d'un incident. L'UAX réduit le nombre d'alertes, automatise les investigations et unifie les workflows. Grâce à la puissance combinée de QRadar SOAR et de l'UAX, vos analystes bénéficient d'un contexte immédiat sur chaque incident grâce à des investigations automatisées, une analyse approfondie des causes et des recommandations d'actions personnalisées. Le logiciel met les incidents en corrélation, les enrichit et les classe par ordre de priorité avant même que les analystes ne commencent une enquête.
L'UAX permet à vos analystes de mieux prioriser leurs efforts en triant automatiquement les alertes selon leur niveau de gravité. Ce niveau de gravité est calculé en utilisant des renseignements sur les menaces, des règles d'enrichissement et des techniques de machine learning. Grâce à une explication claire et concise de ce score de gravité et à une représentation simple, vos analystes peuvent facilement visualiser et filtrer tous les éléments associés à un incident et ainsi sur quoi concentrer leurs efforts en premier. Cela permet à vos équipes d'utiliser les capacités de triage automatisé des alertes d'UAX en toute confiance.
Avant qu'un cas ne soit créé dans QRadar SOAR, les capacités de corrélation et d'enrichissement d'UAX analyseront les données d'alerte à travers les sources de données configurées. Cela se produit avant de consolider les alertes liées en un seul cas ou de créer un nouveau cas. Les alertes liées provenant de vos sources de données connectées sont consolidées en un seul incident, offrant à vos analystes une vue d'ensemble complète et une possibilité d'approfondir leurs recherches grâce à la fonction de recherche fédérée. En un coup d'œil, vos analystes peuvent consulter toutes les sources de données, les indicateurs de compromission et les artefacts associés à un incident, le tout enrichi d'un score de gravité automatisé.
Gestion des cas
Les fonctionnalités avancées de gestion des incidents de QRadar SOAR offrent à vos analystes une vue détaillée et accessible de chaque incident, afin d'accélérer et d'améliorer leur processus d'investigation. En outre, les tableaux de bord et les rapports sur les cas permettent de résumer les mesures et les résultats clés ainsi que de les partager entre les équipes, ce qui offre une visibilité à l'ensemble de votre organisation.
- QRadar SOAR permet à vos analystes d'approfondir leurs investigations grâce à une visualisation détaillée des artefacts associés à chaque incident. L'onglet « Evidence » d'un cas spécifique fournit des conclusions et des artefacts pertinents liés à l'incident concerné, ce qui offre une vue centralisée qui sert de contexte supplémentaire. Les analystes peuvent également documenter d'autres résultats ainsi que des observations dans les sections « pièces jointes » et « notes ».
- Le tableau de bord analytique de Qradar SOAR affiche divers graphiques et tableaux pour visualiser les informations statistiques, en fonction de votre niveau d'accès et de vos permissions. Les utilisateurs peuvent personnaliser leur tableau de bord en sélectionnant des widgets prédéfinis, tels que des tableaux croisés dynamiques et des graphiques, pour mieux comprendre les temps moyens de détection et de résolution, les cas ouverts/fermés par propriétaire, par type, par durée, par gravité, et bien plus encore.
La possibilité de générer des rapports directement dans QRadar SOAR, sur un ou plusieurs incidents, facilite le partage des informations entre les équipes et avec la direction pour améliorer la visibilité et la clarté du processus de réponse aux incidents.
Protocoles et automatisation
Lauréat du Red Dot Design Award, le concepteur de protocoles de QRadar SOAR est un outil puissant conçu pour aider vos équipes de sécurité à accélérer la réponse aux incidents. Grâce à une fonctionnalité dynamique et low code, des protocoles entièrement automatisés peuvent être créés en quelques minutes et sans codage.
Le concepteur de protocoles est une interface utilisateur graphique intuitive, spécialement conçue pour les ingénieurs en automatisation afin de créer et personnaliser les réponses manuelles et automatiques. Le concepteur de protocoles propose une bibliothèque de tâches, scripts, fonctions, sous-protocoles et points de condition pré-créés, prêts à être utilisés immédiatement. L'utilisateur peut ajouter des nœuds à la zone de travail par simple cliquer-glisser et les connecter de diverses manières pour exécuter le processus avec la logique souhaitée.
La fonctionnalité Data Navigator, sortie dans la version 49.0 de QRadar SOAR, est un cadre de configuration de fonctions low code disponible dans le concepteur de protocoles. Data Navigator permet de configurer les entrées des fonctions en quelques secondes et avec quelques clics, sans avoir besoin d'écrire du code. Dans les versions précédentes de QRadar SOAR, définir les entrées pour les fonctions et les sous-protocoles nécessitait des compétences en Python et en écriture de scripts. Avec Data Navigator, le concepteur de protocoles propose désormais des entrées dynamiques et des sous-protocoles dans un menu intuitif de schémas de protocoles. Pour les utilisateurs qui continuent à préférer Python pour les configurations de script, Data Navigator est également accessible via les onglets des champs et des scripts.
La fonctionnalité Playbook Go-Back, ajoutée à QRadar SOAR dans la version 51.0.1.0, améliore notre fonctionnalité de bouclage en permettant aux concepteurs de protocoles et aux ingénieurs en automatisation de créer des flux flexibles et logiques dans vos protocoles, ce qui permet au processus de passer à n'importe quel autre nœud selon les conditions définies. Votre flux peut alors réexécuter des fonctions et des tâches, tout en montrant intuitivement ce qui a été réalisé et en suivant les informations pertinentes dans la piste d'audit.
La visualisation de la progression du protocole, introduite dans la version 49.0 de QRadar SOAR, propose une nouvelle manière de suivre l'avancement d'une instance de protocole. Les analystes de sécurité peuvent surveiller plus facilement la progression d'une instance de protocole en cours, et voir l'état de chaque nœud à mesure que le protocole suit son cours, tel qu'il a été conçu par l'ingénieur du SOC. Cela permet aux analystes de prendre des décisions plus rapides et fiables sur les interventions qui sont nécessaires pour faire avancer le cas ou déboguer une automatisation.
La fonctionnalité Playbook Instance View, qui est disponible depuis la version 51.0 de QRadar SOAR, ajoute un nouvel onglet au tableau de bord des protocoles. Via cet onglet, les développeurs peuvent voir une vue d'ensemble de tous les protocoles en cours d'exécution dans leur instance QRadar SOAR. Le filtrage par statut de protocole, type d'activation ou type d'objet, ainsi que des filtres de temps et de date plus granulaires, permettent aux développeurs de déterminer rapidement et de manière fiable où intervenir pour résoudre les problèmes au niveau du cas ou du protocole source.
- La prise en charge JSON native, publiée dans la version 51.0.0.1 de QRadar SOAR, prend désormais en charge les données JSON natives dans les cas. Il n'est plus nécessaire de stocker celles-ci sous forme de chaînes encombrantes et presque inutilisables. Elles peuvent maintenant être utilisées pour alimenter les tables de données, les champs d'incidents, les entrées de protocole, et plus encore. SOAR facilite également la consommation des informations JSON en formatant automatiquement les données avec une indentation claire, un système de couleurs et des options de regroupement.
Intégrations et applications SOAR
QRadar SOAR propose plus de 300 intégrations pour aider à rationaliser vos processus d'orchestration et d'automatisation de la réponse aux incidents.
La plateforme IBM App Exchange est un guichet unique pour explorer, partager et télécharger des intégrations développées par IBM, des fournisseurs tiers et la communauté de la sécurité au sens large. Ces intégrations sont conçues pour améliorer et étendre les capacités des solutions d’IBM Security. Pour rechercher parmi les plus de 300 intégrations disponibles de QRadar SOAR, il vous suffit de sélectionner l'onglet « QRadar SOAR » et d'appliquer le filtre approprié.
L'accent mis sur le contenu de réponse, disponible pour une utilisation immédiate, reste une priorité pour QRadar SOAR. Le contenu des protocoles pré-créé permet d'accélérer le développement de l'automatisation et de réduire le temps de conception. Pour cela, les applications QRadar SOAR de l'IBM App Exchange (intégrations existantes et nouvelles) sont enrichies d'exemples de protocoles dans l'intégration SOAR elle-même. Aujourd'hui, vous pouvez filtrer par type de contenu sur IBM App Exchange et sélectionner « protocoles » pour voir plus de 60 intégrations SOAR qui sont équipées de protocoles. Une fois l'intégration SOAR configurée dans votre système, les protocoles associés seront automatiquement ajoutés à la bibliothèque de protocoles.
App Host (anciennement Edge Gateway) est un environnement de déploiement de conteneurs basé sur Kubernetes qui héberge des conteneurs d'applications. Après avoir téléchargé une intégration SOAR sur IBM App Exchange, l'utilisateur l'importe dans son environnement QRadar SOAR, configure l'intégration et la déploie sur App Host pour l'activer.
Réponse aux violations
La fonctionnalité de réponse aux violations QRadar SOAR Breach Response est conçue pour simplifier la conformité aux lois sur les notifications de violations de données après un incident de sécurité. Elle permet aux analystes de votre SOC de prendre les bonnes mesures et de collaborer avec les membres appropriés pour répondre aux violations de sécurité impliquant des informations sensibles, des données personnelles, des informations personnellement identifiables (PII) et d'autres types de données. Avec son intégration SOAR et ses rapports sur les violations de données, le module Breach Response fournit aux organisations un soutien pour plus de 200 réglementations de confidentialité dans le monde entier, permettant aux équipes de sécurité de l'information d'intégrer les tâches de reporting de confidentialité dans leurs protocoles de réponse aux incidents.
QRadar SOAR Breach Response repose sur une base de connaissances mondiale. Cette base de données, régulièrement mise à jour, comprend les exigences de notification des violations de données à travers le monde, telles que le RGPD et la CCPA, ainsi que les réglementations spécifiques au secteur qui ont des exigences de signalement des violations de confidentialité, telles que la loi HIPAA. Une équipe interne de professionnels de la confidentialité des données gère la base de connaissances mondiale et la met à jour en communiquant avec les régulateurs, les agences gouvernementales, les professionnels de la confidentialité des données de la base client d’IBM et la communauté de la confidentialité au sens large.
Le module SOAR Breach Response peut accélérer la réponse aux violations de données en intégrant des tâches spécifiques à la confidentialité directement dans le protocole global. Ces tâches de confidentialité détaillent les étapes recommandées que les membres du centre des opérations de sécurité (SOC) ou de l'équipe de confidentialité doivent suivre pour respecter les exigences de reporting pertinentes.
La possibilité de générer des rapports directement dans QRadar SOAR, sur un ou plusieurs incidents, facilite le partage des détails des incidents de violation entre les différentes équipes et la direction pour améliorer la visibilité et la clarté du processus de réponse aux incidents.
IBM QRadar SOAR on Cloud prend en charge votre stratégie centrée sur le cloud, ce qui vous permet d’évoluer et de déployer rapidement sans compromettre la sécurité, la confidentialité ou les niveaux de risque. Il respecte les normes de conformité sectorielles et mondiales suivantes :
- ISO 27001, 27017, 27018
- Fonctionnement dans IBM Cloud SOC2 Type 2 (SSAE 16)
DDI utilise IBM QRadar SOAR pour accélérer les réactions aux menaces et réduire de près de 85 % les temps de réponse.
Askari Bank élabore des protocoles spécifiques en fonction de ses cas d’utilisation métier pour recevoir des réponses automatisées, permettant à ses analystes de concentrer leur énergie là où c’est important.
Silverfern IT utilise QRadar SOAR pour gérer l’ensemble du cycle de vie des incidents de sécurité lorsqu’une cybermenace est détectée et automatiser les processus à mesure que l’entreprise aligne ses efforts de réponse sur des cas d’utilisation prédéfinis.
Explorez d’autres produits IBM pour étendre la sécurité au niveau de votre société.
IBM Qradar SIEM (SaaS cloud natif) utilise plusieurs couches d’IA et d’automatisation pour améliorer considérablement la qualité des alertes et l’efficacité des analystes de sécurité.
QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
Intégrez des outils de sécurité pour mieux comprendre les menaces dans un environnement multicloud hybride.
Gérez de manière proactive les menaces de sécurité grâce à l’expertise, aux compétences et au personnel d’IBM Security Services.
Accélérez vos examens de sécurité grâce à des renseignements exploitables sur les menaces qui s’intègrent à vos outils de sécurité.
Protégez les données sensibles à l’aide de fonctionnalités de reconnaissance automatisée, de classification, de surveillance et d’analyse cognitive.