使用智能运行手册来定义并加快事件响应流程
定义事件响应流程
对网络安全事件做出响应时,每一秒都至关重要。您必须基于正确的数据、联合正确的决策者、按照正确的顺序,做出正确的决策。要想快速做出响应,就必须制定明确且高效的事件响应计划。
明确的事件响应 (IR) 计划需要进行规划、运用相关技能、具备协调能力并实现自动化,以确保及时准确的响应。NIST 概述了经受住了时间考验的 IR 指南。明确定义的 IR 流程应该包含以下阶段:
准备工作
检测和分析
遏制、根除与恢复
事后活动
IBM QRadar SOAR 可助力您的组织定义和执行强大的 IR 流程。QRadar SOAR 融入了智能和自动化,采用简单的阶段、任务和操作层次结构来帮助您的团队快速果断地对网络安全事件做出响应。
工作原理
无论是勒索软件、网络钓鱼还是任何高级网络威胁,在攻击过程中,时间至关重要。QRadar SOAR 的自动化功能可以为新分析师节省时间并缩短学习曲线。 动态运行手册不断发展,以反映威胁不断变化的性质,同时通过 IBM App Exchange 上的 300 多个集成以及对开放标准和自定义集成的支持,QRadar SOAR 可以自动化并加速响应,帮助最大程度地减少影响。
凭借对数千条开源 Sigma 规则的原生支持,即使威胁不断演变,安全分析师也可以直接从安全社区快速导入全新、经过验证的众包指令。
确保可以访问所有孤立数据以丰富威胁调查。联合搜索为您提供经济高效的灵活性,让您能够在将哪些任务关键型数据引入 SIEM 以及在数据所在位置搜索数据之间进行选择。
直接从 IBM Security QRadar SOAR 内生成报告
安全事件得到解决后,QRadar SOAR 将协助开展各种事件后活动,以完成恢复工作。无论是自动化修复措施,还是生成响应步骤文档,以确定改进措施,从而在未来更好地保护组织。如果发生数据泄露,QRadar SOAR 泄露响应模块有助于保持合规性并避免昂贵的经济处罚。
“借助 IBM,我们现在可以 24 小时实时准确地了解世界。我们可以看到每个端点、每个系统。因此提升了我们跨团队协作的效率。”DDI 首席运营官 Robert Oh 表示。
“为了使 SOC 发挥作用,优先响应最紧迫的安全风险的能力几乎与检测一样重要。QRadar 解决方案使我们的团队在应对威胁方面更加有效。”Askari Bank 安全运营中心部门主管 Umair Shakil 说道。
Netox Oy 网络安全高级经理 Marita Harju 表示:“我们的 Netox Trust 网络安全服务可以帮助客户发现未知情况,而我们的运行手册可以帮助客户在攻击发生时予以响应。”