IBM QRadar SOAR (Security Orchestration, Automation and Response) wurde entwickelt, um die Prozesse zur Reaktion auf Vorfälle Ihrer Sicherheits-Teams zu beschleunigen und zu verbessern. QRadar SOAR nutzt Automatisierung und Intelligenz, um Analysten in die Lage zu versetzen, schnelle und entschlossene Maßnahmen gegen potenzielle Sicherheitsvorfälle zu ergreifen. Mit dem preisgekrönten Playbook Designer, über 300 Integrationen und einem leistungsstarken Breach Response Module ist QRadar SOAR darauf ausgelegt, Sie bei der Skalierung und Optimierung Ihres Sicherheitsteams zu unterstützen.
Fallmanagement
Die ausgereiften Funktionen von QRadar SOAR für das Fallmanagement bieten Analysten einen umfassenden Überblick über den Kontext zusätzlicher Vorfälle, um ihren Untersuchungsprozess zu beschleunigen und zu verbessern. Darüber hinaus helfen Dashboard-Visualisierungen und Fallberichte dabei, wichtige Metriken und Ergebnisse zusammenzufassen und teamübergreifend zu teilen, wodurch eine unternehmensweite Transparenz geschaffen wird.
- QRadar SOAR bietet Analysten die Möglichkeit, durch die Visualisierung von Artefakten tiefer in die Untersuchung eines Falls einzutauchen. Der Tab „Beweise“ innerhalb jedes Falls enthält relevante Erkenntnisse und Artefakte, die jedem Vorfall beigefügt sind, und bietet einen zentralen Überblick über den zusätzlichen Kontext. Analysten können auch zusätzliche Erkenntnisse und Gedanken in den Abschnitten „Anhänge“ und „Notizen“ dokumentieren.
- Das QRadar SOAR-Analyse-Dashboard zeigt – je nach Zugriffs- und Berechtigungsstufe – verschiedene Diagramme und Grafiken zur Anzeige statistischer Informationen an. Benutzer können die Dashboard-Ansicht basierend auf einer Auswahl vordefinierter Widgets, wie z. B. Pivot-Tabellen und Diagramme, anpassen, um MTTD, MTTR, offene/geschlossene Fälle nach Eigentümer, nach Typ, nach Dauer, nach Schweregrad und mehr besser zu verstehen.
Die Möglichkeit, Berichte direkt in QRadar SOAR zu erstellen – ob zu einem oder zu mehreren Fällen – erleichtert den Informationsaustausch zwischen Teams und mit der Unternehmensleitung, um die Sichtbarkeit und Klarheit im gesamten Prozess der Reaktion auf Vorfälle zu verbessern.
Playbooks und Automatisierung
Der mit dem Red Dot Design Award ausgezeichnete Playbook Designer von QRadar SOAR ist ein leistungsstarkes Tool, das Ihre Sicherheitsteams dabei unterstützt, schneller auf Vorfälle zu reagieren. Dank dynamischer Low-Code-Funktionalität können innerhalb von Minuten und ganz ohne Programmieren vollautomatische Playbooks erstellt werden.
Playbook Designer ist eine intuitive, grafische Benutzeroberfläche, die speziell für Automatisierungsingenieure entwickelt wurde, um sowohl manuelle als auch automatische Reaktionen zu erstellen und anzupassen. Playbook Designer bietet eine Bibliothek mit vorkonfigurierten Aufgaben, Skripten, Funktionen, Sub-Playbooks und Bedingungspunkten, die sofort verwendet werden können. Die Benutzeroberfläche bietet eine Click-and-Drag-Funktion, mit der Sie Knoten auf der Arbeitsfläche hinzufügen können, sowie die Möglichkeit, diese Knoten auf unzählige Arten zu verbinden, um Ihren Prozess mit der gewünschten Logik auszuführen.
Data Navigator – veröffentlicht in v49.0 von QRadar SOAR – ist ein Framework zur Konfiguration von Low-Code-Funktionen, das in Playbook Designer verfügbar ist. Mit Data Navigator können Funktionseingaben in Sekundenschnelle und mit nur wenigen Klicks konfiguriert werden, ohne dass Code geschrieben werden muss. In früheren Versionen von QRadar SOAR waren für die Definition von Eingaben für Funktionen und Sub-Playbooks Python- und Skriptkenntnisse erforderlich. Mit Data Navigator bietet Playbook Designer jetzt dynamische und Sub-Playbook-Eingaben in einem intuitiven Playbook-Schema-Menü. Für Benutzer, die Python für die Skripterstellung von Konfigurationen bevorzugen, stellen wir Data Navigator weiterhin sowohl im Tab „Felder“ sowie unter „Skripterstellung“ zur Verfügung.
Das in v51.0.1.0 in QRadar SOAR veröffentlichte Playbook Go-Back ist eine Erweiterung unserer Schleifenfunktionalität, die es Playbook-Designern und Automatisierungsingenieuren ermöglicht, flexible, logische Abläufe in Ihren Playbooks zu entwerfen, sodass der Prozess basierend auf Ihren definierten Bedingungen zu jedem anderen Knoten springen kann. Ihr Flow kann dann Funktionen und Aufgaben erneut ausführen, während er Ihnen intuitiv genau anzeigt, was getan wurde, und zugehörige Informationen im Prüfprotokoll nachverfolgt.
Die in Version 49.0 von QRadar SOAR veröffentlichte Visualisierung des Playbook-Fortschritts bietet eine neue Möglichkeit, den Fortschritt eines Playbooks anzuzeigen. Sicherheitsanalysten können den Fortschritt einer laufenden Playbook-Instanz leichter überwachen und den Status jedes Knotens im Verlauf des Playbooks sehen, da das Playbook vom SOC-Ingenieur entworfen wurde. Dadurch kann der Analyst schneller und zuverlässiger entscheiden, wo ein Eingreifen erforderlich sein könnte, um den Fall voranzutreiben oder eine Automatisierung zu debuggen.
Playbook-Instanzen, die in Version 51.0 von QRadar SOAR veröffentlicht wurden, bieten eine neue Registerkarte im Playbooks-Dashboard, über die Entwickler eine ganzheitliche Ansicht aller laufenden Playbooks in ihrer QRadar SOAR-Instanz erhalten. Durch Filtern nach Playbook-Status, Aktivierungstyp oder Objekttyp sowie durch detailliertere Zeit- und Datumsfilter können Playbook-Entwickler schnell und zuverlässig feststellen, wo sie eingreifen müssen, um Probleme entweder auf Fallebene oder mit dem Ursprungs-Playbook zu lösen.
- Der native JSON-Support, der in v51.0.0.1 von QRadar SOAR veröffentlicht wurde, unterstützt jetzt native JSON-Daten in Fällen. JSON muss nicht mehr als umständliche und nahezu unbrauchbare Zeichenfolge gespeichert werden. JSON-Eingabedaten können jetzt zum Auffüllen von Datentabellen, Vorfallsfeldern, Playbook-Eingaben und mehr verwendet werden. Auch die Nutzung von JSON-Informationen wird mit SOAR einfacher, indem die Daten automatisch mit klarer Einrückung, Farbcodierung und Reduzierbarkeit formatiert werden.
Integrationen und SOAR-Anwendungen
QRadar SOAR bietet über 300 Integrationen, um Ihre Prozesse zur Koordinierung und Automatisierung der Reaktion auf Vorfälle zu optimieren.
IBM App Exchange ist eine zentrale Anlaufstelle, um von IBM, Drittanbietern und der breiteren Sicherheits-Community entwickelte Integrationen zu durchsuchen, zu teilen und herunterzuladen. Diese Integrationen dienen dazu, die Fähigkeiten von IBM-Sicherheitslösungen zu verbessern und zu erweitern. Um in den über 300 verfügbaren QRadar SOAR-Integrationen zu suchen, filtern Sie einfach im Tab „QRadar SOAR“.
Ein Schwerpunkt von QRadar SOAR liegt weiterhin auf Reaktionsinhalten, die sofort einsatzbereit sind. Vorkonfigurierte Playbook-Inhalte beschleunigen die Entwicklung der Automatisierung und verkürzen die Entwurfszeit. Zu diesem Zweck werden QRadar SOAR-Apps aus dem IBM App Exchange (sowohl bestehende als auch neue Integrationen) mit Beispiel-Playbooks innerhalb der SOAR-Integration selbst erweitert. Heute können Sie in IBM App Exchange nach „Inhaltstyp“ filtern und „Playbooks“ auswählen, um über 60 SOAR-Integrationen zu sehen, die mit Playbooks ausgestattet sind. Sobald die SOAR-Integration in Ihrem System konfiguriert ist, werden die zugehörigen Playbooks automatisch zur Playbook-Bibliothek hinzugefügt.
App Host (früher bekannt als Edge Gateway) ist eine Kubernetes-basierte Container-Bereitstellungsumgebung, die App-Container hostet. Nachdem eine SOAR-Integration von IBM App Exchange heruntergeladen wurde, importiert der Benutzer sie in seine QRadar-SOAR-Umgebung, konfiguriert die Integration und stellt sie auf einem App Host bereit, um die App für die Nutzung freizugeben.
Reaktion auf Datenschutzverletzungen
QRadar SOAR Breach Response wurde entwickelt, um die Data Breach Compliance bei Datenschutzverletzungen nach einem Sicherheitsvorfall zu vereinfachen. So können Ihre SOC-Analysten die richtigen Schritte einleiten und mit den richtigen Teammitgliedern zusammenarbeiten, um auf Sicherheitsverletzungen zu reagieren, die sensible Informationen, personenbezogene Daten, PII und andere Arten von Daten betreffen. Durch die Integration von SOAR und der Berichterstattung über Datenschutzverletzungen unterstützt Breach Response Unternehmen bei über 200 Datenschutzbestimmungen weltweit und ermöglicht es Informationssicherheitsteams, Datenschutzberichterstattungsaufgaben in ihre allgemeinen Playbooks für die Reaktion auf Vorfälle zu integrieren.
Das Herzstück von QRadar SOAR Breach Response ist die globale Wissensdatenbank. Diese Datenbank wird regelmäßig aktualisiert und enthält Meldepflichten für Datenschutzverletzungen auf der ganzen Welt, wie z. B. die DSGVO und der CCPA, sowie branchenspezifische Vorschriften, die Meldepflichten für Datenschutzverletzungen vorsehen, wie z. B. HIPAA. Ein internes Team aus Datenschutzexperten verwaltet die globale Wissensdatenbank und hält sie auf dem neuesten Stand, indem es mit Regulierungsbehörden, Regierungsstellen, Datenschutzexperten aus dem IBM-Kundenstamm und der breiteren Datenschutzgemeinschaft kommuniziert.
SOAR Breach Response kann die Reaktion auf Datenschutzverletzungen beschleunigen, indem datenschutzspezifische Aufgaben direkt in das allgemeine Vorfalls-Playbook integriert werden. Diese Datenschutzaufgaben beschreiben die empfohlenen Schritte, die Mitglieder des Security Operations Center (SOC) oder des Datenschutzteams unternehmen sollten, um die relevanten Meldepflichten zu erfüllen.
Die Möglichkeit, Berichte direkt in QRadar SOAR zu erstellen – ob zu einem oder zu mehreren Fällen – erleichtert den Informationsaustausch zwischen Teams und mit der Unternehmensleitung, um die Sichtbarkeit und Klarheit im gesamten Prozess der Reaktion auf Vorfälle zu verbessern.
DDI nutzt IBM Radar SOAR, um die Reaktion auf Sicherheitsbedrohungen zu beschleunigen und die Reaktionszeiten um fast 85 % zu verkürzen.
Die Askari Bank erstellt spezifische Playbooks, die auf ihren Geschäftsfällen basieren, um automatisierte Antworten zu erhalten, so dass ihre Analysten ihre Energie auf die wichtigsten Punkte konzentrieren können.
Silverfern IT verwendet QRadar SOAR, um den gesamten Lebenszyklus von Sicherheitsvorfällen zu verwalten, wenn eine Cyberbedrohung erkannt wird, und um Prozesse zu automatisieren, wenn das Unternehmen seine Reaktionsmaßnahmen an vordefinierten Anwendungsfällen ausrichtet.
Entdecken Sie weitere IBM-Produkte zur Verbesserung der Sicherheit Ihres Unternehmens.
Verwalten Sie mit dem Fachwissen, den Fähigkeiten und Mitarbeitern von IBM Security Services Sicherheitsbedrohungen proaktiv.
Beschleunigen Sie Ihre Sicherheitsuntersuchungen mit umsetzbaren Bedrohungsdaten, die sich in Ihre Sicherheitstools integrieren lassen.
Schützen Sie sensible Daten durch automatisierte Erkennung, Klassifizierung und Überwachung sowie kognitive Analysen.