;preserveAspectRatio(xMidYMid)))
Lorsque vous répondez à un incident, le facteur temps est essentiel. Vous devez prendre les bonnes décisions, en fonction des bonnes données, avec les bons décideurs, le tout dans le bon ordre. Il est essentiel d’avoir un processus bien défini et efficace. En automatisant autant que possible ce processus, vous réduisez le délai et améliorez l’efficacité des analystes.
Une réponse à un incident (RI) bien définie nécessite de la planification, des compétences, de la coordination et de l’automatisation afin de garantir rapidité et précision. Le NIST (lien externe à ibm.com) et le SANS (lien externe à ibm.com) ont des directives IR qui ont résisté à l’épreuve du temps. Selon le NIST un processus IR bien défini doit comporter les phases suivantes :
- Préparation
- Détection et analyse
- Endiguement, éradication et reprise
- Activité post-incident
Les protocoles IBM Security QRadar SOAR permettent de définir un processus IR basé sur une hiérarchie simple de phases, de tâches et d’actions. Lorsqu’un cas est créé dans QRadar SOAR, un protocole définit les phases, les tâches et les actions nécessaires pour répondre.
QRadar SOAR Playbook Designer facilite la création d’un processus de réponse aux incidents standard ou d’un ensemble de tâches. Les tâches du protocole fournissent aux analystes des conseils sur la façon d’effectuer chaque tâche et l’ordre d’exécution des tâches. Les points de décision permettent au processus d’être dynamique et au branchement d’inclure des tâches supplémentaires ou d’ignorer les tâches inutiles. Lors d’un incident, des tâches supplémentaires peuvent être ajoutées manuellement par un analyste.
Le module Qradar SOAR Breach Response fournit aux analystes des tâches spécifiques aux violations, qui couvrent plus de 180 réglementations mondiales en matière de protection de la vie privée, pour vous aider à répondre aux exigences de déclaration et à éviter de lourdes amendes.
Les tâches définissent des actions, et les actions peuvent être automatisées, par le biais d’intégrations, avec d’autres outils pour accélérer le processus de réponse. QRadar SOAR peut s’intégrer à plus de 300 solutions de sécurité. Vous pouvez simplement commencer par définir l’ensemble des tâches et leur ordre d’exécution, puis automatiser d’abord les actions les plus couramment exécutées.
La détection automatisée des menaces et la traque des menaces fournissent des alertes qui doivent être examinées par un analyste. L’envoi de ces alertes à QRadar SOAR crée un cas et lance le processus de réponse aux incidents (IR).
Les tâches aident l’équipe de sécurité à analyser le système infecté et à analyser le trafic réseau pour les déplacements latéraux.
Les protocoles aident à créer le bon ensemble de tâches, qui peut varier en fonction du type d’incident ou de la source. QRadar SOAR vous permet de créer des protocoles pour différents types d’attaques ; les protocoles contiennent une logique permettant de déclencher différentes tâches en fonction des attributs de l’attaque.
Plus un dossier SOAR est créé tôt, plus l’automatisation peut vous aider à gagner du temps. Les tâches peuvent guider les nouveaux analystes et contribuer à l’élaboration d’une documentation de cas. La fonction d’archivage peut aider à nettoyer les anciens cas ou faux positifs, maintenant ainsi la propreté du système, mais en créant un enregistrement permanent que vous pouvez toujours récupérer.
Dans cette phase, un analyste doit effectuer des recherches et déterminer si l’alerte est réelle. Le guide des tâches peut utiliser des actions pour collecter automatiquement les détails à partir de plusieurs outils connectés et rassembler ainsi toutes les informations pertinentes. Les informations sont ajoutées aux tables de données des cas, ce qui lance le processus de documentation des incidents.
L’enrichissement peut consister simplement à accéder à un répertoire LDAP pour ajouter le propriétaire de l’ordinateur portable au cas, ou à rassembler tous les détails pertinents à partir de la source d’alerte (par exemple, SIEM, EDR, cloud, etc.). En automatisant l’enrichissement par des actions de type protocole, les analystes peuvent se concentrer sur l’examen et la confirmation de l’incident ou le marquer comme faux positif.
En cas de perte de données, remplir le questionnaire de réponse aux violations avec le nombre de personnes concernées et leurs zones géographiques peut aider à déterminer les réglementations applicables, les temps de réponse associés et les tâches de signalement.
Le temps est un facteur essentiel lors d’une attaque, et l’automatisation des actions permet de gagner du temps et de réduire la courbe d’apprentissage pour les nouveaux analystes. Avec plus de 300 intégrations et la prise en charge de normes ouvertes, l’automatisation des actions de confinement est la première priorité. Une fois qu’un analyste confirme l’incident, les actions peuvent s’exécuter automatiquement ou manuellement par un analyste. Les actions de cette phase peuvent mettre un système hors ligne ou empêcher l’exécution d’un processus. Les intégrations avec les outils EDR, tels que QRadar EDR ou Cybereason, peuvent également mettre l’ordinateur portable d’un employé hors ligne.
Pour les systèmes informatiques (par exemple les systèmes de paie ou de ressources humaines), les actions automatisées peuvent rechercher les propriétaires des processus informatiques et les propriétaires des processus métier dans un outil de gestion des actifs tel que ServiceNow ou SAP. Les automatisations peuvent envoyer un e-mail aux propriétaires pour leur indiquer que le système est infecté et ajouter les propriétaires au tableau de données du dossier avec des commentaires indiquant que les propriétaires ont été informés par e-mail ou sur Slack.
Les protocoles peuvent être dynamiques. Ainsi, dans le cas d’une cible de grande valeur, telle qu’un ordinateur portable professionnel, le temps peut être critique et les protocoles peuvent exécuter des actions de confinement pendant que l’analyste poursuit ses tâches pendant les phases d’enrichissement et de validation. Une fois les détails de l’attaque confirmés, les actions peuvent automatiser les mises à jour d’une liste de blocage de pare-feu en utilisant une intégration EDR, qui permet d’empêcher les mouvements latéraux ou les nouvelles entrées, faisant ainsi gagner du temps aux analystes.
Pendant cette phase, les équipes de sécurité peuvent faciliter les actions de récupération restantes et communiquer la résolution des incidents au sein de l’équipe. Les analystes peuvent automatiser les actions pour créer et suivre les demandes adressées au service informatique et restaurer l’image système des machines ou restaurer les sauvegardes.
Les intégrations bidirectionnelles avec des outils tels que ServiceNow permettent aux analystes de créer un ticket à partir de QRadar SOAR et d’en surveiller l’avancement. ServiceNow peut mettre à jour le dossier une fois le ticket ServiceNow marqué comme terminé. Vous pouvez également automatiser les actions qui envoient des requêtes à votre solution EDR (comme QRadar EDR, Carbon Black ou SentinelOne) pour remettre le système en ligne.
Leçons apprises
Le rapport résume la documentation pour chaque réponse et action effectuées. Un rapport d’incident résumera l’examen afin de s’assurer que tous les documents appropriés font partie du dossier. Dans le cas d’une violation de données, un examen des réglementations applicables aide à maintenir les organisations en conformité avec les délais de reporting associés.
Les analystes examinent les phases et documentent les problèmes qui doivent être mis à jour pour améliorer la réponse aux incidents ultérieurs. C’est à ce moment-là qu’un analyste documente et recommande des améliorations telles que la modification de la fréquence des sauvegardes ou l’examen des tâches manuelles ajoutées au cas, qui doivent être ajoutées au protocole pour les incidents futurs.
Les rapports permettent de comprendre où le processus de réponse aux incidents peut être amélioré. Les équipes de sécurité peuvent utiliser la plateforme QRadar SOAR pour « générer un rapport d’incident ». De là, les analystes peuvent générer un rapport sur un seul incident ou sur plusieurs incidents. Ils peuvent utiliser un modèle standard pour formater le rapport ou le personnaliser pour répondre à des besoins spécifiques.
« Avec IBM, nous disposons désormais d’une vision précise du monde, 24 heures sur 24 et en temps réel. Nous pouvons voir chaque terminal et chaque système. Et cela a rendu notre collaboration entre équipes beaucoup plus efficace », explique Robert Oh, directeur des opérations chez DDI.
« Pour qu’un SOC soit efficace, la capacité à hiérarchiser notre réponse aux risques de sécurité les plus urgents est presque aussi importante que la détection. La solution QRadar... a rendu notre équipe beaucoup plus efficace dans la lutte contre les menaces », déclare Umair Shakil, responsable du service SOC chez Askari Bank.
« Nos services de cybersécurité Netox Trust offrent une visibilité sur ce qui échappe aux clients, et nos protocoles les aident à réagir en cas d’attaque », explique Marita Harju, directrice senior de la cybersécurité chez Netox Oy.