Processo di risposta agli incidenti
Richiedi una dimostrazione QRadar SOAR Guarda una demo (2:58)
Motivo di cerchi divisi sovrapposti
Definisci il processo di risposta agli incidenti

Quando si risponde a un incidente, il tempo è essenziale.È necessario prendere le giuste decisioni giuste, in base ai dati giusti, con i decisori giusti, il tutto nel giusto ordine.È fondamentale avere un processo ben definito ed efficientee automatizzarlo il più possibile riduce i tempi e migliora l'efficienza degli analisti.  

Una risposta ben definita agli incidenti (incident response, IR) richiede pianificazione, competenze, coordinamento e automazione per garantire una risposta tempestiva e accurata.Le linee guida di NIST (link esterno a ibm.com) e SANS (link esterno a ibm.com) hanno resistito alla prova del tempo.Il NIST delinea un processo di IR ben definito che si compone di queste fasi:

  • Preparazione
  • Rilevazione e analisi
  • Contenimento, eliminazione e recupero
  • Attività post-incidente

Con i playbook IBM Security QRadar SOAR è possibile definire un processo di IR basato su una semplice gerarchia di fasi, attività e azioni.Quando si crea un caso in QRadar SOAR, un playbook definisce le fasi, le attività e le azioni necessarie per rispondere.
Come funziona
Pianificazione Crea politiche, azioni del processo IR (sequenza di attività), documentazione sugli incidenti, comunicazione, identificazione del team, strumenti, accesso agli strumenti e formazione

QRadar SOAR Playbook Designer semplifica la creazione di un processo standard di risposta agli incidenti o di una serie di attività. Le attività del playbook forniscono agli analisti indicazioni su come completare ogni attività e l'ordine in cui eseguirle. I punti decisionali consentono al processo di essere dinamico e di ramificare le attività aggiuntive o di saltare le attività non necessarie. Durante un evento imprevisto, un'analista può aggiungere manualmente ulteriori attività.

Il modulo Qradar SOAR Breach Response fornisce agli analisti compiti specifici per le violazioni, coprendo oltre 180 normative globali sulla privacy, per aiutarti a soddisfare i requisiti di segnalazione ed evitare multe salate.

Le attività definiscono le azioni e le azioni possono eseguire l'automazione, tramite integrazioni, con altri strumenti per accelerare il processo di risposta. QRadar SOAR può integrarsi con più di 300 soluzioni di sicurezza. Puoi semplicemente iniziare definendo il set di attività e l'ordine di esecuzione delle attività, quindi automatizzare prima le azioni eseguite più di frequente.
Scoperta e identificazione  Identifica avvisi o incidenti che necessitano di ulteriori indagini

Il rilevamento automatizzato delle minacce fornisce avvisi che devono essere esaminati da un analista.L'invio di tali avvisi a QRadar SOAR crea un caso e avvia il processo di risposta agli incidenti (IR).

Le attività aiutano il team di sicurezza ad analizzare il sistema infetto e a esaminare il traffico di rete per rilevare i movimenti laterali.

I playbook contribuiscono a creare la giusta serie di attività, che può variare in base al tipo di origine o incidente.QRadar SOAR ti consente di creare playbook per diversi tipi di attacchi; i playbook contengono la logica per attivare attività diverse in base agli attributi dell'attacco.

Prima si crea un caso SOAR, più l'automazione può aiutare a risparmiare tempo.Le attività possono guidare nuovi analisti nella creazione della documentazione del caso.La funzione di archiviazione può ripulire i vecchi casi o i falsi positivi, mantenendo il sistema pulito, ma consentendo un registro permanente sempre recuperabile.
Arricchimento e convalida Raccogli i dettagli sull'avviso e convalida gli avvisi come incidenti reali

In questa fase, un analista deve cercare e determinare se l'avviso è reale. La guida alle attività può utilizzare azioni per raccogliere automaticamente i dettagli da più strumenti collegati, acquisendo tutte le informazioni pertinenti. Le informazioni vengono aggiunte alle tabelle dei dati del caso e questo avvia il processo di documentazione dell'incidente.

L'arricchimento può essere semplice: basta accedere a una directory LDAP per aggiungere il proprietario del laptop al caso o raccogliere tutti i dettagli pertinenti dalla fonte dell'avviso (ad esempio SIEM, EDR, cloud e altro). Automatizzando l'arricchimento con azioni del playbook, gli analisti possono concentrare la propria attenzione sul controllare e confermare l'incidente o sul contrassegnarlo come falso positivo.

In caso di perdita di dati, completare il questionario di risposta alla violazione con il numero di individui interessati e le loro aree geografiche può aiutare a determinare le normative applicabili, i tempi di risposta associati e le attività di segnalazione.

 

 Esplora IBM App Exchange per integrazioni di arricchimento e convalida
Contenimento e correzione Contieni l'attacco e previeni ulteriori danni

Il tempo è fondamentale durante un attacco e l'automazione delle azioni fa risparmiare tempo e riduce la curva di apprendimento per i nuovi analisti.  Con oltre 300 integrazioni e supporto per standard aperti, l'automazione delle azioni di contenimento è la prima priorità. Una volta che un analista conferma l'incidente, le azioni possono essere eseguite automaticamente o manualmente da un analista. Le azioni in questa fase possono portare un sistema offline o impedire l'esecuzione di un processo.  Le integrazioni con strumenti EDR, come QRadar EDR o Cybereason, possono anche mettere offline il laptop di un dipendente.

Per i sistemi IT, come la gestione delle buste paga o le risorse umane, le automazioni possono cercare i proprietari dei sistemi IT e aziendali in uno strumento di gestione delle risorse come ServiceNow o SAP. Le automazioni possono inviare un'e-mail ai proprietari per informarli che il sistema è infetto e aggiungere i proprietari alla tabella dei dati del caso con commenti che indicano che i proprietari sono stati avvisati tramite e-mail o Slack.

I playbook possono essere dinamici, quindi nel caso di un obiettivo di alto valore (come un laptop di un dirigente) il tempo può essere fondamentale e i playbook possono eseguire azioni di contenimento, mentre l'analista continua a lavorare sulle attività durante la fase di arricchimento e convalida.Dopo aver confermato i dettagli dell'attacco, le azioni possono automatizzare gli aggiornamenti di una blocklist del firewall utilizzando un'integrazione di rilevamento e risposta degli endpoint (EDR), che contribuisce a prevenire il movimento laterale o il rientro, così gli analisti risparmiano tempo.

 Esplora IBM App Exchange per le integrazioni di contenimento, risposta e ripristino
Recupero e trasmissione Rimuovi eventuali codici o punti di ingresso dannosi e ripristina i sistemi interessati, testali e quindi riporta online i sistemi interessati

Durante questa fase, i team di sicurezza possono facilitare le rimanenti azioni di ripristino e comunicare la risoluzione degli incidenti a tutto il team.Gli analisti possono automatizzare le azioni per creare monitorare le richieste per l'IT, per reinventare le macchine o per effettuare il ripristino dai backup.

Grazie a integrazioni bidirezionali con strumenti come ServiceNow, gli analisti possono creare un ticket da QRadar SOAR e monitorare l'avanzamento.ServiceNow può aggiornare il caso una volta completato il ticket ServiceNow.È anche possibile automatizzare le azioni che richiedono la soluzione EDR, come QRadar EDR, Carbon Black o SentinelOne, per riportare il sistema online.

Lezioni apprese
Il reporting riassume la documentazione per ogni risposta e azione intrapresa.Un report sull'incidente riassumerà il caso per la revisione, per garantire che tutta la documentazione adeguata faccia parte del caso.In caso di violazione dei dati, una revisione delle normative applicabili è utile per mantenere le organizzazioni conformi con le tempistiche di reporting associate.

Gli analisti esaminano le fasi e documentano eventuali problemi che devono essere aggiornati per migliorare la risposta agli incidenti in futuro. Questo è il momento in cui un analista documenta e consiglia miglioramenti come la modifica della frequenza dei backup o la revisione delle attività manuali aggiunte al caso che dovrebbero essere aggiunte al playbook per incidenti futuri.

Il reporting aiuta a comprendere gli aspetti migliorabili del processo di risposta agli incidenti.I team della sicurezza possono utilizzare la piattaforma QRadar SOAR per "Generare report sugli incidenti".Da qui, gli analisti possono creare un report su uno o più incidentie utilizzare un modello standard per formattare il report o personalizzarlo in base alle esigenze specifiche.

 

 Scopri come generare un report sugli incidenti
Case study Evitare nuove minacce informatiche con nuovi approcci alla sicurezza

"Con IBM, ora abbiamo una visione accurata del mondo 24 ore su 24, in tempo reale. Possiamo vedere ogni endpoint, ogni sistema. E questo ha reso la nostra collaborazione tra team molto più efficiente", afferma Robert Oh, Chief Operating Officer, DDI.

 Tenere a bada le minacce informatiche 24 ore su 24, 7 giorni su 7, grazie all'automazione e all'analisi

"Affinché un SOC sia efficace, la capacità di dare priorità alla nostra risposta ai rischi per la sicurezza più urgenti è importante quasi quanto il rilevamento. La soluzione QRadar... ha reso il nostro team molto più efficace nel risolvere il panorama delle minacce", afferma Umair Shakil, Head of Security Operations Center Unit, Askari Bank.

Alimentare un SOC che fornisce servizi di sicurezza affidabili

"I nostri servizi di cybersecurity Netox Trust offrono visibilità sulle incognite di [clienti] e i nostri playbook li aiutano a rispondere quando si verifica un attacco", afferma Marita Harju, Senior Manager, Cyber Security, Netox Oy.
Fai il passo successivo

Programma una demo approfondita con uno dei nostri esperti o stima il costo della tua soluzione con il nostro calcolatore di prezzi.

 Richiedi una demo di QRadar SOAR Stima il costo di QRadar SOAR