O que é SOAR?

SOAR vem do acrônimo de Security Orchestration Automation and Response. É uma ferramenta poderosíssima para resposta a incidente e outras automações, mas vamos entender melhor.

Imagem de SOAR

SOAR

O SOAR tem como foco ajudar na resposta a incidente, ele é versátil e pode ser usado para outras finalidades, mas vamos focar em resposta a incidente.

No SOAR é possível orquestrar um SOC, automatizarmos ações, análises e muito mais e além disso responder incidentes, tudo isso sem interação humana. Vamos separar cada ponto para ficar mais fácil o entendimento.

Orquestração

Imagina um solução que consegue receber inputs de diversas fontes, firewall, IPS, WAF, entre outras e principalmente do SIEM. Quando o SOAR recebe um input ele é capaz de consultar informações na internet e fazer um pré-analise sobre a informação recebida, pode seguir um fluxo de escalonamento, saber da onde é o IP, URL ou o e-mail malicioso, dentre outras muitas coisas.

Esse tipo de orquestração ajuda o SOC demais, pois retira um trabalho operacional que seria feito por um analista.

Automação

Automatizar o que? Podemos automatizar ações a partir do input recebido, essa ação pode ser desde um simples scan do antivírus ou vulnerabilidade até mais complexa do tipo adicionar um IP em blacklist.

Por exemplo: o SIEM gerou um alerta e enviou para o SOAR, ele realizou um analise e descobriu que o IP é malicioso e com isso já adiciona o IP na blacklist do IPS.

Resposta

Agora a parte mais legal, ele pode realizar toda uma resposta a incidente, isso mesmo, toda! Você possuindo um playbook, poderá desenhar ele na solução para que ele execute de início a fim. Já teremos a orquestração e automação, porque não juntar tudo e extrair o máximo de resultado.

Vamos imaginar um playbook no qual o analista precise consultar diversas fontes de threat intelligence e a partir do resultado dessa analise tomar uma ação, essa ação é realizar o bloqueio de um URL, acionar um equipe responsável e atualizar um indicador.

Conseguimos configurar para que o SOAR a partir do momento que receber um incidente inicie o playbook abrindo um chamado na solução, realize a analise e com o resultado feche o chamado ou de sequência no mesmo enviando um e-mail para a equipe responsável, adicionando as informações nos indicadores necessários e fechando o chamado. Tudo isso sem nenhuma interação humana.

O SOAR É O SONHO DE CONSUMO DO SOC!

Vamos com calma, se o SOC não possuir procedimentos, processos e playbooks bem definidos não saberá o que automatizar, o que orquestrar e muito menos o que responder. O SOC não tendo essa maturidade não adianta de nada possuir um SOAR.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.