Giải pháp tự động hóa quy trình ứng phó sự cố SOAR

IBM SOAR là giải pháp giúp doanh nghiệp tổ chức phản ứng với các sự cố, các cuộc tấn công
một cách nhanh chóng hơn, hiệu quả hơn và thông minh hơn, thông qua việc

Phối hợp và tự động hoá các quy trình phản ứng, xử lý sự cố giúp tối ưu các công tác vận hành an ninh và công tác ứng cứu sự cố.

Linh hoạt thay đổi để thích nghi với từng diễn biến mới của sự cố trong quá trình điều tra nhờ việc phân cấp ưu tiên quản lý các sự kiện và công việc.

Đáp ứng nhanh chóng với những hiểm hoạ bằng các kịch bản thông minh được xây dựng dựa trên những kinh nghiệm và tri thức của hãng được đúc kết qua nhiều cuộc tấn công. 

Điều tra chi tiết và thuận tiện nhờ các thông tin đầy đủ quan trọng về sự cố luôn được dễ dàng truy cập mọi lúc mọi nơi.







IBM SOAR tích hợp 2 chiều với IBM QRadar, cho phép tổ chức phát hiện và xử lý sự cố an toàn thông tin
với sự tham gia của cả Con người, Quy trình và Công nghệ
Với IBM SOAR doanh nghiệp, tổ chức có thể đảm bảo các quy trình tối ưu nhất luôn sẵn sàng được kích hoạt khi có vấn đề về an toàn an ninh thông tin xảy ra. Các quy trình xử lý được xây dựng, tuỳ biến dễ dàng và linh hoạt bằng các thành tố như incident types, phases, tasks, fields, workflows, scripts và rules. Tất cả được mô hình hoá thành các kịch bản (playbook) rõ ràng và thông suốt để toàn bộ đội ngũ ứng cứu có thể phối hợp nhuần nhuyễn với nhau. Trong suốt vòng đời của sự cố, các kết quả phản ứng được cập nhật tự động và liên tục theo từng giai đoạn của kịch bản.
Lợi ích

Là công cụ đắc lực phục vụ đội ngũ phản ứng sự cố an toàn an ninh thông tin, IBM SOAR có những khả năng đáp ứng các yêu cầu khắt khe nhất của các doanh nghiệp tổ chức:
Được đánh giá cao bởi các tổ chức uy tín trên thế giới như Ponemon Institute, giải pháp IBM SOAR có nhiều ưu điểm vượt trội như:






Hỗ trợ trên 18 loại sự cố khác nhau cùng các cách thức khuyến nghị để giải quyết từng loại, từ malware đến DDoS hay mất thiết bị





Dễ dàng tuỳ biến với Dynamic Playbook: các kịch bản trong SOAR là "động", trong đó các công việc, quy trình, dữ liệu, thông tin liên tục được cập nhật tuỳ theo diễn biến của sự cố, và các thành phần của kịch bản (rule, workflow, script…) có thể được tái sử dụng cho nhiều mục đích khác nhau




Khả năng tích hợp với hàng trăm giải pháp và ứng dụng đến từ các nhà cung cấp/ phát triển khác nhau hỗ trợ cho việc thực thi các tác vụ phản ứng sự cốTích hợp chặt chẽ với nhiều giải pháp, công nghệ khác nhau: SOAR là nền tảng trung tâm cho công tác xử lý sự cố. Do vậy nó tích hợp được với các giải pháp an ninh bảo mật khác, cho phép người phản ứng thu thập được thông tin và đưa ra hành động nhanh hơn và hiệu quả hơn
Hỗ trợ hàng chục nguồn thông tin tình báo (Threat sources) có sẵn bao gồm những nguồn phổ biến như IBM X-Force Exchange, VirusTotal, MaxMind, Cisco ThreatGrid, SANS ISC… và cả những nguồn tuỳ biến (custom).Tự động hoá và điều phối quy trình: các workflow, rule và script của SOAR cung cấp khả năng tự động cao, như khởi tạo, cập nhật sự cố, thu thập dữ liệu pháp y, tra cứu dữ liệu manh mối, cho đến cách ly vô hiệu hoá các máy tính bị xâm nhập.
Tăng cường khả năng cộng tác, phối hợp giữa đội ngũ nhân sự trong quá trình xử lý sự cố, thuộc các phòng ban, bộ phận khác nhau, bao gồm từ vận hành bảo mật, vận hành hệ thống, pháp lý, marketing, nhân sự cho đến đội ngũ lãnh đạo. Tất cả đều có thể tham gia và góp sức vào quá trình xử lý sự cố
Theo dõi trạng thái sự cố: các sự cố có thể được tạo lập dễ dàng và linh hoạt theo nhiều phương thức khác nhau, và được theo dõi, cập nhật trạng thái liên tục, chi tiết và đầy đủ giúp người tham gia xử lý nắm được diễn biến trong từng giai đoạn.
Mô hình hoá sự cố: các chuyên gia phân tích an ninh sẽ hiểu rõ hơn về cuộc tấn công cũng như mối quan hệ giữa các thông tin, các manh mối thu được trong quá trình phản ứng khi chúng được biểu diễn dưới dạng đồ hoạ.
Giả lập sự cố: cho phép đội ngũ dễ dàng thử nghiệm quy trình phản ứng để đánh giá, bổ sung, điều chỉnh trước khi đưa vào hoạt động với các sự cố thật.
Khả năng báo cáo: giải pháp cung cấp các giao diện dashboard và khả năng phân tích cho phép biểu diễn các thông tin trong báo cáo về các sự cố, quy trình và kết quả xử lý tới đội ngũ lãnh đạo, điều hành.

Với tất cả những tính năng ưu việt và năng lực vượt trội nêu trên, bộ đôi giải pháp IBM QRadar SIEM và SOAR thực sự là chìa khoá để tạo nên một hệ thống giám sát bảo mật tập trung thế hệ mới, là nền móng vững chắc và tin cậy giúp tổ chức tiến tới xây dựng một SOC an toàn, hiệu quả

Khách hàng tiêu biểu