SOAR-Plattformen (Orchestrierung, Automatisierung Und Reaktion Auf Sicherheitsfragen) im Vergleich

“Security Orchestration, Automation and Response (SOAR) Platforms“

Filtern nach
Deployment
Training
Support
Logo
Azure Sentinel
Azure Sentinel ist eine Cloud-native Plattform für Security Information Event Management (SIEM) und Security Orchestration Automated Response (SOAR), die dir hilft, Bedrohungen in deiner hybriden Umgebung zu erkennen, zu untersuchen und darauf zu rea...
Gitnux-Bewertung
Solide
Logo
SIRP
SIRP ist eine SOAR-Plattform (Security Orchestration, Automation and Response), die es Sicherheitsteams ermöglicht, Sicherheitsvorfälle effizient zu verwalten, zu automatisieren und darauf zu reagieren. SIRP lässt sich in die bestehenden Sicherheitst...
Gitnux-Bewertung
Solide
Logo
McAfee ePO
McAfee ePO ist eine SOAR-Plattform (Security Orchestration, Automation and Response), die es Sicherheitsteams ermöglicht, ihre Reaktion auf Vorfälle zu orchestrieren und zu automatisieren. Es bietet eine End-to-End-Lösung für die Verwaltung von Siche...
Gitnux-Bewertung
Solide
Frequently asked questions

SOAR-Plattformen sind für die Automatisierung von Sicherheitsabläufen konzipiert. Sie können für eine Vielzahl von Zwecken eingesetzt werden, z. B. für die Reaktion auf Vorfälle und die Suche nach Bedrohungen. Die Plattform besteht in der Regel aus drei Hauptkomponenten: Orchestrierung, Automatisierung und Analyse/Berichterstattung. Mit der Orchestrierung kann der Nutzer festlegen, welche Aktionen beim Eintreten eines Ereignisses oder in regelmäßigen Abständen (z. B. alle fünf Minuten) durchgeführt werden sollen. Die Automatisierung führt diese definierten Aufgaben dann in der Reihenfolge der Ereignisse aus, die in der vom System überwachten Umgebung aufgetreten sind (d.h. wenn dies passiert, tu diese Dinge; wenn nicht, tu etwas anderes). Analytics bietet Berichtsfunktionen, damit die Nutzer/innen sehen können, wie gut ihre Systeme im Laufe der Zeit funktionieren, und Trends erkennen können, die auf potenzielle Probleme mit ihrer Infrastruktur oder den Anwendungen, die sie damit überwachen, hinweisen.

Es gibt zwei Arten von SOAR-Plattformen. Die erste ist eine Plattform, die Orchestrierungs-, Automatisierungs- und Reaktionsfunktionen für den gesamten Sicherheitsbereich eines Unternehmens bietet (z. B. SIEM, NAC). Mit dieser Art von Lösung können Aufgaben über mehrere Technologien wie Firewalls, IDS/IPS-Systeme und Endpunktschutzplattformen hinweg automatisiert werden. Diese Lösungen verfügen in der Regel über eine agentenbasierte Architektur, bei der Agenten auf jedem verwalteten Gerät installiert werden müssen, um einen Einblick in die Ereignisse zu erhalten, die auf den verwalteten Geräten oder in den Netzwerken auftreten. Darüber hinaus erfordern diese Produkte oft erhebliche Anpassungen durch das IT-Personal, bevor mit der Automatisierung von Prozessen für bestimmte Anwendungsfälle wie Patch-Management oder Schwachstellen-Scans begonnen werden kann, da die meisten Anbieter keine Out-of-the-Box-Integration mit Tools von Drittanbietern wie Nessus® Vulnerability Scanner von Tenable Network Security®, Inc. anbieten.Die zweite Art von SOAR-Plattform konzentriert sich ausschließlich auf die Bereitstellung von Orchestrierungs- und Automatisierungsfunktionen für Netzwerksicherheitsgeräte wie Firewalls, IPS/IDS-Appliances und VPN-Gateways, ohne dass auf den verwalteten Endpunkten zusätzliche Software installiert werden muss, die über das hinausgeht, was dort bereits vorhanden ist (z. B, Antiviren-Software). Da diese Produktklasse nicht auf die Installation von Agenten auf jedem einzelnen Endpunkt angewiesen ist, der

SOAR-Plattformen wurden entwickelt, um Sicherheitsvorgänge zu automatisieren und Reaktionen zu orchestrieren. Sie können für die Reaktion auf Vorfälle, das Schwachstellenmanagement, die Überwachung der Konfigurationskonformität (CCM), die Protokollanalyse und mehr eingesetzt werden. Die Plattform wird in der Regel als virtuelle Appliance oder als On-Premises-Software eingesetzt, die sich in bestehende Infrastrukturkomponenten wie SIEMs, Firewalls/IPS-Geräte und andere Netzwerk-Appliances integrieren lässt. Sie bietet eine einfache Möglichkeit, unterschiedliche Systeme in eine zusammenhängende Lösung zu integrieren, ohne dass zusätzliche Hardware angeschafft oder neue Mitarbeiter eingestellt werden müssen, die über die erforderlichen Fähigkeiten verfügen, um diese Lösungen einzeln zu implementieren.

SOAR-Plattformen sind kein Allheilmittel. Sie erfordern erhebliche Investitionen in Zeit und Ressourcen für die Implementierung, Konfiguration, Prüfung und Wartung. Die Plattform muss in der Lage sein, das Volumen der von deinen Sicherheitstools generierten Warnmeldungen zu bewältigen und eine intuitive Benutzeroberfläche für Analysten bereitzustellen, die einfach zu bedienen ist und ihnen gleichzeitig alle Informationen liefert, die sie benötigen, um bei einem Zwischenfall schnell reagieren zu können.

SOAR-Plattformen eignen sich für Unternehmen, die eine große Anzahl von Sicherheitsprodukten haben und die Verwaltung, Überwachung, Alarmierung und Reaktion automatisieren wollen. Sie müssen auch in der Lage sein, sich in andere Systeme wie SIEM oder Ticketing-Systeme zu integrieren.

Die Kriterien für den Kauf einer SOAR-Plattform sind ähnlich wie bei jedem anderen Technologiekauf. Du solltest die folgenden Faktoren berücksichtigen, wenn du eine SOAR-Lösung evaluierst:

SOAR-Plattformen können auf verschiedene Weise implementiert werden. Die häufigste Implementierung ist die Bereitstellung der Plattform als Appliance, die vor Ort oder in der Cloud eingesetzt werden kann. Eine andere Möglichkeit ist eine reine Softwarelösung, die auf der bestehenden Infrastruktur läuft und keine zusätzliche Hardware erfordert. Eine dritte Möglichkeit ist, dass Organisationen mit einer großen Anzahl von Endpunkten (z. B. Unternehmen) ihre eigene SOAR-Plattform mit Open-Source-Komponenten wie Ansible Tower, Jenkins X und Kubernetes Engine implementieren. Dieser Ansatz ermöglicht es ihnen, ihre eigenen maßgeschneiderten Plattformen für die Automatisierung der Sicherheitsorchestrierung zu entwickeln, ohne dass sie sich an die proprietären Lösungen von Anbietern wie IBM Security oder Cisco Umbrella Enterprise Threat Defense (ETD) binden müssen.

SOAR-Plattformen lassen sich am besten implementieren, wenn du bereits über ein ausgereiftes Sicherheitsprogramm verfügst. Das bedeutet, dass dein Unternehmen bereits Zeit und Geld in den Aufbau der folgenden Komponenten einer effektiven Cybersicherheitsstrategie investiert hat:Security Operations Center (SOC) - Ein SOC ist für die Überwachung, Analyse und Reaktion auf Bedrohungen deiner Netzwerkinfrastruktur zuständig. Das SOC sollte rund um die Uhr mit geschulten Fachkräften besetzt sein, die schnell auf jede Bedrohung oder jeden Vorfall im Netzwerk reagieren können. Ein effektives SOC bietet außerdem Einblick in alle Geräte, die mit dem Unternehmensnetzwerk verbunden sind, so dass potenzielle Schwachstellen erkannt werden können, bevor sie zu Problemen werden.- Ein SOC ist für die Überwachung, Analyse und Reaktion auf Bedrohungen der Netzwerkinfrastruktur verantwortlich. Das SOC sollte rund um die Uhr mit geschulten Fachkräften besetzt sein, die schnell auf jede Bedrohung oder jeden Vorfall im Netzwerk reagieren können. Ein effektives SOC bietet außerdem Einblick in alle Geräte, die mit dem Unternehmensnetzwerk verbunden sind, so dass es potenzielle Schwachstellen erkennen kann, bevor sie zu Problemen werden. Security Incident Response Plan (SIRP) - Dein SIRP legt fest, wie mit Vorfällen umgegangen wird, sobald sie in deiner Umgebung entdeckt werden; er enthält Verfahren, wie z. B. welche Schritte bei einem Angriffsereignis wie einer Ransomware-Infektion oder einer Phishing-Kampagne, bei der Mitarbeiter mit bösartigen Links in E-Mail-Anhängen, die Malware enthalten, angesprochen werden, unternommen werden müssen

Weitere Kategorien