IBM QRadar SOAR (orquestación, automatización y respuesta de seguridad) está diseñado para acelerar y mejorar los procesos de respuesta a incidentes de sus equipos de operaciones de seguridad. QRadar SOAR emplea la automatización y la inteligencia para capacitar a los analistas para que tomen medidas rápidas y decisivas contra posibles incidentes de seguridad. Con un galardonado Playbook Designer, más de 300 integraciones y un potente módulo de respuesta a filtraciones, QRadar SOAR está diseñado para ayudarle a escalar y optimizar a su equipo de seguridad.
Gestión de casos
Las sofisticadas capacidades de gestión de casos de QRadar SOAR proporcionan a los analistas una visión accesible del contexto adicional del incidente para acelerar y mejorar su proceso de investigación. Además, las visualizaciones del panel y la elaboración de informes de casos ayudan a resumir y compartir métricas y hallazgos clave entre los equipos, proporcionando visibilidad en toda la organización.
- QRadar SOAR ofrece a los analistas la posibilidad de investigar a profundidad un caso mediante la visualización de artefactos. La pestaña "Evidencia" dentro de cada caso proporciona hallazgos relevantes y artefactos adjuntos a cada incidente, dando una visión centralizada de contexto adicional. Los analistas también pueden documentar hallazgos y reflexiones adicionales en las secciones de adjuntos y notas.
- El panel de analytics de QRadar SOAR muestra varios cuadros y gráficos para ver la información estadística, en función de su nivel de acceso y permisos. Los usuarios pueden personalizar la vista del panel basándose en una selección de widgets predefinidos, como tablas dinámicas y gráficos, para comprender mejor el MTTD, el MTTR, los casos abiertos/cerrados por propietario, por tipo, por duración, por gravedad, etc.
La capacidad de generar informes directamente desde QRadar SOAR, ya sea sobre un incidente concreto o sobre varios, facilita el intercambio de información entre equipos y con la dirección para mejorar la visibilidad y la claridad en todo el proceso de respuesta a incidentes.
Playbooks y automatización
Ganador del premio de diseño Red Dot Design Award, Playbook Designer de QRadar SOAR es una potente herramienta creada para ayudar a sus equipos de seguridad a acelerar la respuesta a incidentes. Con una funcionalidad dinámica de código bajo, se pueden diseñar playbooks totalmente automatizados en cuestión de minutos y sin ningún tipo de programación.
Playbook Designer es una interfaz gráfica de usuario intuitiva, diseñada específicamente para que los ingenieros de automatización creen y personalicen respuestas tanto manuales como automáticas. Playbook Designer proporciona una biblioteca de tareas, scripts, funciones, sub-playbooks y puntos de condición predefinidos disponibles para su uso inmediato. La experiencia del usuario ofrece la funcionalidad de hacer clic y arrastrar para añadir nodos al lienzo, y la posibilidad de conectar esos nodos de innumerables maneras para ejecutar su proceso con la lógica que desee.
Data Navigator, lanzado en la v49.0 de QRadar SOAR, es un marco de configuración de funciones de código bajo disponible en Playbook Designer. Data Navigator permite configurar las entradas de función en cuestión de segundos y con unos pocos clics, sin necesidad de escribir código. En versiones anteriores de QRadar SOAR, el método de definición de entradas para funciones y sub-playbooks requería conocimientos de Python y scripting. Con Data Navigator, Playbook Designer proporciona ahora entradas dinámicas y de sub-playbooks en un menú intuitivo de esquema de guía de estrategias. Para los usuarios que sigan prefiriendo Python para las configuraciones de scripting, seguimos exponiendo Data Navigator tanto en la pestaña de campos como en las experiencias de la pestaña de scripting.
Playbook Go-Back, lanzado en la v51.0.1.0 en QRadar SOAR, es una mejora de nuestra funcionalidad de bucle que permite a los diseñadores de playbooks y a los ingenieros de automatización diseñar flujos flexibles y lógicos en dichos playbooks, permitiendo que el proceso salte a cualquier otro nodo en función de las condiciones definidas. Su flujo puede entonces volver a ejecutar funciones y tareas, mientras le muestra de forma intuitiva exactamente lo que se ha hecho y rastrea la información relacionada en la pista de auditoría.
Playbook Progress Visualization, lanzada en la v49.0 de QRadar SOAR, introduce una nueva forma de ver el progreso de una guía de estrategias. Los analistas de seguridad pueden monitorizar con mayor facilidad el progreso de una instancia de playbook en ejecución, y ver el estado de cada nodo a medida que el playbook progresa, tal y como este fue diseñado por el ingeniero del SOC. Esto permite al analista tomar decisiones más rápidas y fiables sobre dónde puede ser necesario intervenir para hacer avanzar el caso o depurar una automatización.
Playbook Instances, lanzado en la v51.0 de QRadar SOAR, proporciona una nueva pestaña al panel de playbooks donde los desarrolladores de estos pueden obtener una visión holística de todos los playbooks en ejecución dentro de su instancia de QRadar SOAR. El filtrado por estado del playbook, tipo de activación o tipo de objeto, así como filtros de fecha y hora más granulares, permite a los desarrolladores de playbooks determinar de forma rápida y fiable dónde necesitan intervenir para resolver problemas, ya sea a nivel de caso o con el playbook de origen.
- La compatibilidad nativa con JSON, lanzada en la v51.0.0.1 de QRadar SOAR, permite ahora datos JSON nativos en los casos. Ya no es necesario almacenar JSON como una cadena engorrosa y casi inutilizable. Los datos de entrada JSON pueden utilizarse ahora para rellenar tablas de datos, campos de incidentes, entradas de playbooks y mucho más. SOAR también facilita el consumo de la información JSON formateando de manera automática los datos con sangrías claras, programación por colores y posibilidad de contraerlos.
Integraciones y aplicaciones SOAR
QRadar SOAR proporciona más de 300 integraciones para ayudarle a racionalizar sus procesos de orquestación y automatización de respuesta a incidentes.
IBM App Exchange es un recurso integral para explorar, compartir y descargar integraciones desarrolladas por IBM, proveedores externos y la comunidad de seguridad en general. Estas integraciones están diseñadas para mejorar y ampliar las capacidades de las soluciones de IBM Security. Para buscar entre las más de 300 integraciones de QRadar SOAR disponibles, solo tiene que filtrar en la pestaña "QRadar SOAR".
El énfasis en el contenido de respuesta, disponible para su uso inmediato, ha seguido siendo un gran enfoque para QRadar SOAR. El contenido predefinido del playbook ayuda a agilizar el desarrollo de la automatización y a reducir el tiempo de diseño. Para respaldar esto, las aplicaciones de QRadar SOAR de IBM App Exchange (tanto las integraciones existentes como las nuevas en red) se están mejorando con guías de estrategias de muestra dentro de la propia integración de SOAR. Ahora, puede filtrar en "Tipo de contenido" en IBM App Exchange y seleccionar "Playbooks" para ver más de 60 integraciones SOAR que están equipadas con guías. Una vez configurada la integración SOAR en su sistema, los playbooks asociados se añadirán de forma automática a la biblioteca de las mismas.
App Host (antes conocido como Edge Gateway) es un entorno de despliegue de contenedores basado en Kubernetes que aloja contenedores de aplicaciones. Después de descargar una integración SOAR desde IBM App Exchange, el usuario la importará a su entorno QRadar SOAR, configurará la integración y la desplegará en App Host para habilitar la aplicación para su uso.
Respuesta ante filtraciones
QRadar SOAR Breach Response se ha creado para simplificar el cumplimiento de las leyes de notificación de filtraciones de datos después de que se produzca un incidente de seguridad. Permite a sus analistas del SOC tomar las medidas adecuadas y colaborar con los miembros del equipo adecuados para responder a las violaciones de seguridad que afecten a información confidencial, datos personales, información de identificación personal (PII) y otros tipos de datos. Con su integración del SOAR y la elaboración de informes sobre filtraciones de datos, Breach Response proporciona a las organizaciones compatibilidad con más de 200 normativas sobre privacidad de todo el mundo, lo que permite a los equipos de seguridad de la información integrar las tareas de elaboración de informes sobre privacidad en sus playbooks de respuesta a incidentes.
En el corazón de QRadar SOAR Breach Response se encuentra la base de conocimientos global. Actualizada de forma regular, esta base de datos incluye requisitos de notificación de filtraciones de datos en todo el mundo, como el RGPD y la CCPA, así como regulaciones específicas de la industria que tienen requisitos de notificación de brechas de privacidad, como la HIPAA. Un equipo interno de profesionales de la privacidad de datos gestiona la base de conocimientos global y la mantiene actualizada mediante la comunicación con reguladores, agencias gubernamentales, profesionales de la privacidad de la base de clientes de IBM y la comunidad de la privacidad en general.
SOAR Breach Response puede acelerar la respuesta a las filtraciones de datos integrando tareas específicas de privacidad directamente en el playbook general del incidente. Estas tareas de privacidad detallan los pasos recomendados que los miembros del centro de operaciones de seguridad (SOC) o del equipo de privacidad deben seguir para abordar los requisitos de elaboración de informes pertinentes.
La capacidad de generar informes directamente desde QRadar SOAR, ya sea sobre un incidente concreto o sobre varios, facilita el intercambio de los detalles de los incidentes de filtraciones entre equipos y con la dirección para mejorar la visibilidad y la claridad en todo el proceso de respuesta a incidentes.
DDI utiliza IBM QRadar SOAR para acelerar las reacciones ante las amenazas y reducir en casi un 85 % los tiempos de respuesta.
Askari Bank crea playbooks específicos basados en sus casos de uso empresarial para recibir respuestas automatizadas, lo que permite a sus analistas centrar su energía en lo más importante.
Silverfern IT utiliza QRadar SOAR para gestionar todo el ciclo de vida de los incidentes de seguridad cuando se detecta una ciberamenaza y automatizar los procesos conforme la empresa alinea sus esfuerzos de respuesta con casos de uso predefinidos.
Explore otros productos de IBM para mejorar la seguridad de su empresa.
Gestione de forma proactiva sus amenazas de seguridad con la pericia, las habilidades y el personal de IBM Security Services.
Acelere sus investigaciones de seguridad con inteligencia de amenazas procesable que se integra con sus herramientas de seguridad.
Proteja los datos confidenciales mediante detección, clasificación, monitoreo y análisis cognitivo automatizados.