IBM QRadar SOAR (orchestrazione di sicurezza, automazione e risposta) è costruito per accelerare e migliorare i processi di risposta agli incidenti dei tuoi team di operazioni di sicurezza. Basato su Unified Analyst Experience (UAX), QRadar SOAR utilizza l'automazione e l'intelligence per permettere agli analisti di intraprendere azioni rapide e decise contro i potenziali incidenti di sicurezza. Con un rinomato Playbook Designer, più di 300 integrazioni e un potente Modulo di risposta alle violazioni, QRadar SOAR è creato per aiutarti a scalare e ottimizzare il tuo team di sicurezza.
Unified Analyst Experience (UAX)
Unified Analyst Experience (UAX) è una potente tecnologia progettata per aumentare notevolmente la rapidità e l'efficienza degli analisti per tutta la durata dell'attacco. UAX riduce gli avvisi, automatizza le indagini e unifica i workflow. Con la potenza combinata di QRadar SOAR e UAX, gli analisti di sicurezza ottengono immediatamente il contesto degli incidenti tramite indagini automatizzate, il controllo della causa principale e l'identificazione delle raccomandazioni di risposta. Il software correla, arricchisce e dà priorità agli incidenti prima ancora che gli analisti avviino un'indagine.
UAX consente agli analisti di migliorare l'assegnazione delle priorità agli impegni e di valutare automaticamente gli avvisi per gravità del caso d'uso. La gravità dei casi viene calcolata utilizzando la threat intelligence, le regole di arricchimento del sistema e l'arricchimento del machine learning. Grazie alla spiegabilità coerente della gravità e alla visualizzazione semplice, gli analisti possono visualizzare e filtrare con facilità tutti i rilevamenti e gli artefatti che hanno contribuito all'assegnazione del punteggio di gravità, per poi stabilire con che priorità investire il proprio tempo. Questo permette ai team di utilizzare le funzionalità di triage degli avvisi automatizzati di UAX con sicurezza.
Prima che un caso venga creato in QRadar SOAR, la correlazione e le funzionalità di arricchimento di UAX analizzeranno i dati degli avvisi su tutte le origini dei dati configurate. Questo si verifica prima di consolidare gli avvisi correlati in un unico caso o prima di crearne uno nuovo. Gli avvisi correlati dalle tue origini dei dati collegate sono inclusi nel caso e possono essere controllati dai tuoi analisti e investigati ulteriormente tramite le funzionalità di ricerca federata. Con una visione d'insieme, gli analisti di sicurezza possono valutare tutte le origini dei dati che hanno contribuito al caso, insieme agli indicatori di compromissione (IoC) e agli artefatti associati, pre-arricchiti con un punteggio di gravità automatizzato.
Gestione dei casi
Le sofisticate funzionalità di gestione dei casi di QRadar SOAR danno agli analisti una vista accessibile del contesto aggiuntivo sugli incidenti per accelerare e migliorare il processo di indagine. Inoltre, le visualizzazioni dei dashboard e i report dei casi aiutano a riepilogare e a condividere le metriche chiave e i rilevamenti fra i vari team, fornendo visibilità in tutta l'organizzazione.
- QRadar SOAR dà agli analisti la capacità di approfondire le proprie indagini di un caso tramite la visualizzazione degli artefatti. La scheda "Prove" all'interno di ogni caso fornisce rilevamenti importanti e artefatti allegati a ogni incidente, fornendo una vista centralizzata del contesto aggiuntivo. Gli analisti possono inoltre documentare i risultati aggiuntivi e le proprie riflessioni nella sezione degli allegati e delle note.
- Il dashboard di analytics di QRadar SOAR mostra vari grafici e diagrammi per visualizzare le informazioni statistiche, a seconda del tuo livello di accesso e delle tue autorizzazioni. Gli utenti possono personalizzare la visualizzazione del dashboard in base alla selezione di widget predefiniti, come tabelle pivot e grafici, per comprendere meglio MTTD, MTTR, casi aperti o chiusi per proprietario, per tipo, per durata, per gravità e altro.
L'abilità di generare report direttamente all'interno di QRadar SOAR, su un singolo incidente o su più incidenti, rende più facile condividere le informazioni fra i vari team e con la leadership, per migliorare la visibilità e la chiarezza sul processo di risposta agli incidenti.
Playbook e automazione
Playbook Designer di QRadar SOAR, vincitore del Red Dot Design Award, è un potente strumento creato per aiutare i tuoi team di sicurezza ad accelerare la risposta agli incidenti. Con funzionalità dinamiche e uso limitato di codice, è possibile progettare playbook completamente automatizzati in pochi minuti e senza codifica.
Playbook Designer è un'interfaccia utente intuitiva e grafica, costruita per permettere agli ingegneri dell'automazione di creare e personalizzare sia le risposte manuali che quelle automatiche. Playbook Designer è dotato di una libreria di attività, script, funzionalità, playbook secondari e punti di condizione precostituiti, disponibili per l'uso immediato. L'esperienza utente offre funzionalità click-and-drag per aggiungere nodi alle aree di lavoro e la possibilità di collegarli in modi infiniti per eseguire il processo con la logica desiderata.
Data Navigator, rilasciato nella v49.0 di QRadar SOAR, è un framework a uso limitato di codice di configurazione delle funzioni disponibile in Playbook Designer. Data Navigator consente agli input delle funzioni di essere configurati in pochi secondi e con qualche clic, senza dover scrivere codice. Nelle versioni precedenti di QRadar SOAR, il metodo di definizione degli input per le funzioni e i playbook secondari richiedeva conoscenze di Python e scripting. Con Data Navigator, Playbook Designer ora fornisce input dinamici e playbook secondari in un menu Playbook Schema. Per gli utenti che preferiscono comunque utilizzare Python per le configurazioni di scripting, esporremo Data Navigator sia nelle esperienze della scheda campi che in quelle della scheda scripting.
Playbook Go-Back, rilasciato nella v51.0.1.0 di QRadar SOAR, è un miglioramento alla nostra funzionalità di looping che consente ai designer dei playbook e agli ingegneri di automazione di progettare flussi logici e flessibili nei playbook, consentendo al processo di passare su qualsiasi altro nodo in base alle condizioni definite. Il flusso può quindi eseguire nuovamente funzioni e attività, mostrandoti in modo intuitivo cosa è stato fatto e monitorando le informazioni correlate nell'audit trail.
Playbook Progress Visualization, rilasciato nella v49.0 di QRadar SOAR, introduce un nuovo modo di vedere l'avanzamento di un playbook. Gli analisti di sicurezza possono monitorare più facilmente il progresso di un'istanza di playbook in esecuzione e vedere lo stato di ciascun nodo man mano che il playbook, progettato dall'ingegnere SOC, avanza. Questo consente di prendere decisioni più rapide e affidabili per capire se il caso deve progredire o se effettuare il debug di un'automazione.
Playbook Instances, rilasciato nella v51.0 di QRadar SOAR, crea una nuova scheda nel dashboard Playbook, dove gli sviluppatori possono trovare una vista olistica di tutti i playbook in esecuzione nella loro istanza QRadar SOAR. Filtrando per stato del playbook, tipo di attivazione o tipo di oggetto e utilizzando filtri di data e ora più granulari, gli sviluppatori dei playbook possono determinare in modo rapido e affidabile dove intervenire per risolvere i problemi a livello di caso o con il playbook di origine.
- Native JSON support, rilasciato nella v51.0.0.1 di QRadar SOAR, ora supporta i dati nativi di JSON nei casi. JSON non ha più bisogno di più essere archiviato come stringa pesante e quasi inutilizzabile. I dati di input di JSON ora possono essere utilizzati per popolare tabelle di dati, campi di incidenti, input dei playbook e altro ancora. SOAR, inoltre, rende più semplice consumare le informazioni JSON formattando automaticamente i dati con rientri chiari, codifica a colori e comprimibilità.
Integrazioni e app SOAR
QRadar SOAR offre più di 300 integrazioni per semplificare i processi di orchestrazione di risposta agli incidenti e di automazione.
IBM App Exchange è uno one-stop-shop per navigare, condividere e scaricare le integrazioni sviluppate da IBM, da fornitori di terze parti e dalla community di sicurezza più ampia. Queste integrazioni sono progettate per migliorare ed estendere le funzionalità delle soluzioni di IBM Security. Per cercare tra le oltre 300 integrazioni QRadar SOAR disponibili, usa i filtri della scheda "QRadar SOAR".
Uno dei grandi obiettivi di QRadar SOAR è sempre l'enfasi sul contenuto delle risposte, disponibile per l'uso immediato. I contenuti del playbook precostituito consentono di accelerare lo sviluppo dell'automazione e a ridurre i tempi di progettazione. Per supportarli, le app QRadar SOAR da IBM App Exchange (sia quelle già esistenti che quelle nuove) vengono migliorate con gli stessi playbook all'interno della stessa integrazione SOAR. Oggi puoi filtrare su "Tipo di contenuti" in IBM App Exchange e selezionare "Playbook" per vedere le oltre 60 integrazioni SOAR dotate di playbook. Una volta configurata l'integrazione SOAR nel tuo sistema, i playbook associati verranno aggiunti automaticamente alla libreria dei playbook.
App Host (precedentemente noto come Edge Gateway) è un ambiente di implementazione di container basato su Kubernetes che ospita container di app. Dopo aver scaricato un'integrazione SOAR da IBM App Exchange, l'utente la importerà nel proprio ambiente QRadar SOAR, per configurarla e distribuirla su un App Host e abilitarne l'utilizzo nelle app.
Risposta alle violazioni
QRadar SOAR Breach Response è stato creato per semplificare la conformità delle violazioni dei dati alle leggi legate alla loro comunicazione a seguito di un incidente di sicurezza. Permette ai tuoi analisti SOC di intraprendere i passaggi giusti e di collaborare con i membri del team preposti per rispondere a una violazione di sicurezza che coinvolge informazioni sensibili, dati, informazioni di identificazione personale (PII) e altri tipi di dati. Con la sua integrazione di report SOAR e di violazione dei dati, Breach Response dà alle organizzazioni supporto per oltre 200 normative sulla privacy di tutto il mondo, permettendo ai team di sicurezza delle informazioni di integrare attività di reporting legate alla privacy nei loro playbook globali di risposta agli incidenti.
Al cuore di QRadar SOAR Breach Response c'è la knowledge base globale. Questo database, regolarmente aggiornato, include i requisiti di notifica delle violazioni dei dati in tutto il mondo, per esempio quelli previsti dal GDPR e dal CCPA, oltre a normative specifiche di settore che prevedono requisiti di reporting per le violazioni legate alla privacy, come l'HIPAA. Un team interno di professionisti della privacy dei dati gestisce la knowledge base globale e la mantiene aggiornata comunicando con regolatori, agenzie governative, professionisti della privacy dalla base di clienti di IBM e dalla community della privacy più ampia.
SOAR Breach Response accelera la risposta alle violazioni dei dati integrando attività specifiche sulla privacy direttamente nel playbook generale sugli incidenti. Queste attività relative alla privacy descrivono nel dettaglio i passaggi consigliati che i membri del Security Operations Center (SOC) o del team di privacy devono intraprendere per rispettare i requisiti di reporting rilevanti.
L'abilità di generare report direttamente all'interno di QRadar SOAR, su un singolo incidente o su più incidenti, rende più facile condividere i dettagli sulle violazioni fra i vari team e con la leadership, per migliorare la visibilità e la chiarezza sul processo di risposta agli incidenti.
IBM QRadar SOAR su Cloud supporta la tua strategia basata sul cloud, consentendoti di scalarla e implementarla rapidamente senza compromettere i livelli di sicurezza, privacy o rischio. Soddisfa i seguenti standard di conformità settoriali e globali:
- ISO 27001, 27017, 27018
- Operativo in IBM Cloud SOC2 Tipo 2 (SSAE 16)
DDI utilizza IBM QRadar SOAR per accelerare le reazioni alle minacce e ridurre di quasi l'85% i tempi di risposta.
Askari Bank crea playbook specifici basati sui casi d'uso aziendali per ricevere risposte automatizzate, consentendo agli analisti di concentrare le proprie energie dov'è più importante.
Silverfern IT utilizza QRadar SOAR per gestire l'intero ciclo di vita degli incidenti di sicurezza quando viene rilevata una minaccia informatica e per automatizzare i processi man mano che l'azienda allinea i propri sforzi di risposta a casi d'uso predefiniti.
Esplora altri prodotti IBM per migliorare la protezione della tua azienda.
QRadar SIEM (SaaS cloud-native) utilizza più livelli di AI e automazione per migliorare notevolmente la qualità degli avvisi e l'efficienza degli analisti della sicurezza.
QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
Integra strumenti di sicurezza per ottenere insight sulle minacce negli ambienti multicloud ibridi.
Gestisci proattivamente le minacce alla sicurezza con le competenze, le capacità e le persone di IBM Security Services.
Accelera le indagini sulla sicurezza grazie al threat intelligence fruibile che si integra con i tuoi strumenti di protezione.
Proteggi i dati sensibili utilizzando il rilevamento, la classificazione, il monitoraggio e l'analytics cognitiva automatizzati.