Splunk SOAR

Splunk SOAR (Security Orchestration, Automation and Response) je součástí Splunk Security Operations Suite - komplexního řešení firmy Splunk pro oblast informační bezpečnosti. Přináší výrazné zkvalitnění a zefektivnění práce Security Operations Center prostřednictvím rychlých, přesných a automatizovaných reakcí na bezpečnostní incidenty a dalších funkcí. Tím přispívá k celkovému zvýšení úrovně bezpečnosti.

Popis produktu

Běžnou součástí firem je dnes Security Operation Center (SOC), jehož úkolem je zajistit dané firmě informační bezpečnost. V dnešním digitálně propojeném světě, kde se bezpečnostní hrozby valí nepřetržitě ze všech stran, to není jednoduchý úkol. Množství bezpečnostních událostí, které musí SOC řešit, neustále roste a nezřídka dosahuje stovek až tisíců denně. Bezpečnostní analytici jsou doslova zaplaveni událostmi a často není v jejich silách na všechny adekvátně reagovat. Personálně posílit SOC je ovšem často nemožné – bezpečnostních odborníků je dlouhodobý a výrazný nedostatek. Události jsou často řešeny izolovaně, bez porozumění širšímu kontextu – což nahrává možnosti, že nějaký útok zůstane nerozpoznán. Neexistuje kooperace a orchestrace mezi různými odděleními a technologiemi.

Splunk SOAR je nástrojem, který umožní tyto problémy řešit. Umožňuje automatizovat rutinní a opakující se operace, a dovoluje analytikům pracovat efektivněji. Zrychluje prvotní třídění událostí díky automatické detekci a investigaci. Zkracuje dobu reakce na bezpečnostní incident z hodin na sekundy bez zásahu lidské ruky – reakce může probíhat zcela automaticky pomocí připravených playbooků. Pomocí orchestrace dokáže koordinovat reakce na bezpečnostní incidenty přes řadu technologií a systémů. Prostřednictvím nástrojů jako je event management a case management usnadňuje spolupráci jak uvnitř SOC, tak i s dalšími odděleními. Nástroje pro reporting umožňují rychlou a efektivní analýzu činnosti SOC. Celkově zvyšuje produktivitu práce SOC a tím přispívá k celkovému zvýšení úrovně bezpečnosti.

Splunk SOAR je otevřené řešení, které je možné používat nejen s dalšími součástmi bezpečnostního portfolia Splunk (Splunk SIEM, Splunk Mission Control). Lze ho integrovat s bezpečnostními technologiemi řady dalších výrobců a zdroji threat intelligence informací.


Vlastnosti

Automation :
automatizace rutinních a opakujících se činností.

Orchestration :
koordinace komplexních workflow, zahrnujících řadu nástrojů a technologií. Pomocí pokročilé abstrakce je možné ovládat celé workflow přes jednotné rozhraní, Splunk SOAR automaticky „přeloží“ instrukce, adekvátně pro jednotlivé nástroje / technologie.

Incident response :
Splunk SOAR dokáže automaticky reagovat na bezpečnostní incident díky možnosti vytvářet komplexní playbooky. Ty je možno vytvářet ve vizuálním editoru (bez potřeby psaní kódu) nebo přímo v Pythonu.

Event and Alert Management :
pokročilá správa událostí. Jednotlivé události a jejich atributy jsou prezentovány v kompletní a přehledné podobě, usnadňující analytikům práci. Zahrnuje třídění, prioritizaci a auditování událostí.

Case Management :
pokročilá správa bezpečnostních incidentů. Umožňuje sloučit několik bezpečnostních událostí do jednoho komplexního incidentu. Zahrnuje i netechnické informace – poznámky řešitelů, emaily, přílohy apod. Umožňuje mapování na standardní operační procedury, zahrnující i zapojení dalších oddělení (právní apod.).

Threat Intelligence :
Splunk SOAR umožňuje integraci prakticky libovolného zdroje TI. Automaticky zahrnuje TI data do řešení událostí a incidentů a poskytuje je v přehledné podobě analytikům.

Reporting :
silné reportovací funkce umožňují rychlé a komplexní hodnocení činnosti SOC prostřednictvím metrik jako Mean Dwell Time (MDT), Mean Time To Resolve (MTTR), množství Full Time Equivalents (FTE) ušetřených díky automatizaci, Return of Investment (ROI) a dalších.

Rozšiřitelnost :
Splunk SOAR je možné snadno přizpůsobovat rostoucím potřebám uživatele a rozšiřovat ho jak vertikálně (CPU, RAM) tak horizontálně (více instancí).

Mobilita :
díky mobilní aplikaci se mohou bezpečnostní analytici připojit ke Splunk SOAR a zasáhnout proti hrozbě kdykoliv a odkudkoliv.


Výhody

Zrychlení reakce na bezpečnostní incident :
Splunk SOAR umožňuje zrychlit reakci na bezpečnostní incident z hodin na sekundy a výrazně tak omezit potenciální škody.

Integrace :
Splunk SOAR umožňuje integrovat celou řadu technologií a systémů, a využít tak efektivně všechny dostupné zdroje pro zvýšení bezpečnosti.

Uvolnění zdrojů :
pokročilá automatizace ve Splunk SOAR umožňuje, aby se bezpečnostní analytici věnovali strategickým činnostem místo rutinních úkolů.

Zvýšení efektivity SOC :
Splunk SOAR umožňuje zvýšit úroveň zabezpečení při stejném počtu pracovníků SOC.

Efektivní spolupráce :
Splunk SOAR umožňuje efektivní spolupráci jak v rámci SOC, tak i s ostatními odděleními při řešení bezpečnostních incidentů.

Proč zrovna Alef?

Máme dlouholetou zkušenost s nasazením a správou Splunku jak pro státní správu, tak pro soukromé subjekty. Máme kvalifikované lidi pro počáteční analýzu, přípravu klíčových dokumentů, kvalifikované a certifikované techniky a rozsáhlý projektový tým.

Pro koho Splunk SOAR je?

Splunk SOAR je ideální pro všechny organizace, které chtějí svou informační bezpečnost povýšit na úroveň současných standardů. Jeho schopnosti se hodí všem, kteří chtějí mít jistotu, že v dnešním světě, životně závislém na informačních technologiích, dokáží udržet tyto technologie v bezpečí a funkční díky adekvátní reakci na všudypřítomné hrozby.