Accelera la risposta agli incidenti e ottimizza il tuo security operations center (SOC) con la piattaforma QRadar SOAR
IBM QRadar SOAR (security orchestration, automation and response) è costruito per accelerare e migliorare i processi di risposta agli incidenti dei tuoi team addetti alle operazioni di sicurezza. QRadar SOAR utilizza l'automazione e l'intelligence per consentire agli analisti di intraprendere azioni rapide e decise in caso di eventuali incidenti di sicurezza. Con un rinomato Playbook Designer, più di 300 integrazioni e un potente Modulo di risposta alle violazioni, QRadar SOAR è creato per aiutarti a scalare e ottimizzare il tuo team di sicurezza.
Gestione dei casi
Le sofisticate funzionalità di gestione dei casi di QRadar SOAR danno agli analisti una vista accessibile del contesto aggiuntivo sugli incidenti per accelerare e migliorare il processo di indagine. Inoltre, le visualizzazioni dei dashboard e i report dei casi aiutano a riepilogare e a condividere le metriche chiave e i rilevamenti fra i vari team, fornendo visibilità in tutta l'organizzazione.
- QRadar SOAR dà agli analisti la capacità di approfondire le proprie indagini di un caso tramite la visualizzazione degli artefatti. La scheda "Prove" all'interno di ogni caso fornisce rilevamenti importanti e artefatti allegati a ogni incidente, fornendo una vista centralizzata del contesto aggiuntivo. Gli analisti possono inoltre documentare i risultati aggiuntivi e le proprie riflessioni nella sezione degli allegati e delle note.
- Il dashboard di analytics di QRadar SOAR mostra vari grafici e diagrammi per visualizzare le informazioni statistiche, a seconda del tuo livello di accesso e delle tue autorizzazioni. Gli utenti possono personalizzare la visualizzazione del dashboard in base alla selezione di widget predefiniti, come tabelle pivot e grafici, per comprendere meglio MTTD, MTTR, casi aperti o chiusi per proprietario, per tipo, per durata, per gravità e altro.
L'abilità di generare report direttamente all'interno di QRadar SOAR, su un singolo incidente o su più incidenti, rende più facile condividere le informazioni fra i vari team e con la leadership, per migliorare la visibilità e la chiarezza sul processo di risposta agli incidenti.
Playbook e automazione
Playbook Designer di QRadar SOAR, vincitore del Red Dot Design Award, è un potente strumento creato per aiutare i tuoi team di sicurezza ad accelerare la risposta agli incidenti. Con funzionalità dinamiche e uso limitato di codice, è possibile progettare playbook completamente automatizzati in pochi minuti e senza codifica.
Playbook Designer è un'interfaccia utente intuitiva e grafica, costruita per permettere agli ingegneri dell'automazione di creare e personalizzare sia le risposte manuali che quelle automatiche. Playbook Designer è dotato di una libreria di attività, script, funzionalità, playbook secondari e punti di condizione precostituiti, disponibili per l'uso immediato. L'esperienza utente offre funzionalità click-and-drag per aggiungere nodi alle aree di lavoro e la possibilità di collegarli in modi infiniti per eseguire il processo con la logica desiderata.
Data Navigator, rilasciato nella v49.0 di QRadar SOAR, è un framework a uso limitato di codice di configurazione delle funzioni disponibile in Playbook Designer. Data Navigator consente agli input delle funzioni di essere configurati in pochi secondi e con qualche clic, senza dover scrivere codice. Nelle versioni precedenti di QRadar SOAR, il metodo di definizione degli input per le funzioni e i playbook secondari richiedeva conoscenze di Python e scripting. Con Data Navigator, Playbook Designer ora fornisce input dinamici e playbook secondari in un menu Playbook Schema. Per gli utenti che preferiscono comunque utilizzare Python per le configurazioni di scripting, esporremo Data Navigator sia nelle esperienze della scheda campi che in quelle della scheda scripting.
Playbook Go-Back, rilasciato nella v51.0.1.0 di QRadar SOAR, è un miglioramento alla nostra funzionalità di looping che consente ai designer dei playbook e agli ingegneri di automazione di progettare flussi logici e flessibili nei playbook, consentendo al processo di passare su qualsiasi altro nodo in base alle condizioni definite. Il flusso può quindi eseguire nuovamente funzioni e attività, mostrandoti in modo intuitivo cosa è stato fatto e monitorando le informazioni correlate nell'audit trail.
Playbook Progress Visualization, rilasciato nella v49.0 di QRadar SOAR, introduce un nuovo modo di vedere l'avanzamento di un playbook. Gli analisti di sicurezza possono monitorare più facilmente il progresso di un'istanza di playbook in esecuzione e vedere lo stato di ciascun nodo man mano che il playbook, progettato dall'ingegnere SOC, avanza. Questo consente di prendere decisioni più rapide e affidabili per capire se il caso deve progredire o se effettuare il debug di un'automazione.
Playbook Instances, rilasciato nella v51.0 di QRadar SOAR, crea una nuova scheda nel dashboard Playbook, dove gli sviluppatori possono trovare una vista olistica di tutti i playbook in esecuzione nella loro istanza QRadar SOAR. Filtrando per stato del playbook, tipo di attivazione o tipo di oggetto e utilizzando filtri di data e ora più granulari, gli sviluppatori dei playbook possono determinare in modo rapido e affidabile dove intervenire per risolvere i problemi a livello di caso o con il playbook di origine.
- Native JSON support, rilasciato nella v51.0.0.1 di QRadar SOAR, ora supporta i dati nativi di JSON nei casi. JSON non ha più bisogno di più essere archiviato come stringa pesante e quasi inutilizzabile. I dati di input di JSON ora possono essere utilizzati per popolare tabelle di dati, campi di incidenti, input dei playbook e altro ancora. SOAR, inoltre, rende più semplice consumare le informazioni JSON formattando automaticamente i dati con rientri chiari, codifica a colori e comprimibilità.
Integrazioni e app SOAR
QRadar SOAR offre più di 300 integrazioni per semplificare i processi di orchestrazione di risposta agli incidenti e di automazione.
IBM App Exchange è uno one-stop-shop per navigare, condividere e scaricare le integrazioni sviluppate da IBM, da fornitori di terze parti e dalla community di sicurezza più ampia. Queste integrazioni sono progettate per migliorare ed estendere le funzionalità delle soluzioni di IBM Security. Per cercare tra le oltre 300 integrazioni QRadar SOAR disponibili, usa i filtri della scheda "QRadar SOAR".
Uno dei grandi obiettivi di QRadar SOAR è sempre l'enfasi sul contenuto delle risposte, disponibile per l'uso immediato. I contenuti del playbook precostituito consentono di accelerare lo sviluppo dell'automazione e a ridurre i tempi di progettazione. Per supportarli, le app QRadar SOAR da IBM App Exchange (sia quelle già esistenti che quelle nuove) vengono migliorate con gli stessi playbook all'interno della stessa integrazione SOAR. Oggi puoi filtrare su "Tipo di contenuti" in IBM App Exchange e selezionare "Playbook" per vedere le oltre 60 integrazioni SOAR dotate di playbook. Una volta configurata l'integrazione SOAR nel tuo sistema, i playbook associati verranno aggiunti automaticamente alla libreria dei playbook.
App Host (precedentemente noto come Edge Gateway) è un ambiente di implementazione di container basato su Kubernetes che ospita container di app. Dopo aver scaricato un'integrazione SOAR da IBM App Exchange, l'utente la importerà nel proprio ambiente QRadar SOAR, per configurarla e distribuirla su un App Host e abilitarne l'utilizzo nelle app.
Risposta alle violazioni
QRadar SOAR Breach Response è stato creato per semplificare la conformità delle violazioni dei dati alle leggi legate alla loro comunicazione a seguito di un incidente di sicurezza. Permette ai tuoi analisti SOC di intraprendere i passaggi giusti e di collaborare con i membri del team preposti per rispondere a una violazione di sicurezza che coinvolge informazioni sensibili, dati personali, informazioni di identificazione personale (PII) e altri tipi di dati. Con la sua integrazione di report SOAR e di violazione dei dati, Breach Response dà alle organizzazioni supporto per oltre 200 normative sulla privacy di tutto il mondo, permettendo ai team di sicurezza delle informazioni di integrare attività di reporting legate alla privacy nei loro playbook globali di risposta agli incidenti.
Al cuore di QRadar SOAR Breach Response c'è la knowledge base globale. Questo database, regolarmente aggiornato, include i requisiti di notifica delle violazioni dei dati in tutto il mondo, per esempio quelli previsti dal GDPR e dal CCPA, oltre a normative specifiche di settore che prevedono requisiti di reporting per le violazioni legate alla privacy, come l'HIPAA. Un team interno di professionisti della privacy dei dati gestisce la knowledge base globale e la mantiene aggiornata comunicando con regolatori, agenzie governative, professionisti della privacy dalla base di clienti di IBM e dalla community della privacy più ampia.
SOAR Breach Response accelera la risposta alle violazioni dei dati integrando attività specifiche sulla privacy direttamente nel playbook generale sugli incidenti. Queste attività relative alla privacy descrivono nel dettaglio i passaggi consigliati che i membri del Security Operations Center (SOC) o del team di privacy devono intraprendere per rispettare i requisiti di reporting rilevanti.
L'abilità di generare report direttamente all'interno di QRadar SOAR, su un singolo incidente o su più incidenti, rende più facile condividere i dettagli sulle violazioni fra i vari team e con la leadership, per migliorare la visibilità e la chiarezza sul processo di risposta agli incidenti.
DDI utilizza IBM QRadar SOAR per accelerare le reazioni alle minacce e ridurre di quasi l'85% i tempi di risposta.
Askari Bank crea playbook specifici basati sui casi d'uso aziendali per ricevere risposte automatizzate, consentendo agli analisti di concentrare le proprie energie dov'è più importante.
Silverfern IT utilizza QRadar SOAR per gestire l'intero ciclo di vita degli incidenti di sicurezza quando viene rilevata una minaccia informatica e per automatizzare i processi man mano che l'azienda allinea i propri sforzi di risposta a casi d'uso predefiniti.
Esplora altri prodotti IBM per migliorare la protezione della tua azienda.
Gestisci proattivamente le minacce alla sicurezza con le competenze, le capacità e le persone di IBM Security Services.
Proteggi i dati sensibili utilizzando il rilevamento, la classificazione, il monitoraggio e l'analytics cognitiva automatizzati.