SOAR

Security Orchestration, Automation and Response
„Ein SOAR System verbindet die manuelle Analyse von Sicherheitsvorfällen mit automatischer Informationsgewinnung und zielgerichteten Reaktionsmöglichkeiten."

SOAR

Security Orchestration, Automation and Response
„Ein SOAR System verbindet die manuelle Analyse von Sicherheitsvorfällen mit automatischer Informationsgewinnung und zielgerichteten Reaktionsmöglichkeiten."

Security Orchestration Automation and Response (SOAR)

SOAR Systeme bieten Ihnen eine Plattform, um eingehende Alarme verschiedener IT-Sicherheitssysteme effizient zu bearbeiten. Dazu vereinen sie alle im Unternehmen relevanten Informationen, die zur Bearbeitung eines IT-Sicherheitsvorfalls notwendig sind.

Durch die Einführung eines SOAR Systems verbessern wir Ihren Security Prozess nachhaltig und stärken die Reproduzierbarkeit und Qualität der Analysearbeit.

Orchestration
Binden Sie an Ihr SOAR alle Systeme an, die einen potenziellen IT-Sicherheitsvorfall initial erkennen, weitere Informationen zur Beurteilung liefern oder Schutzmaßnahmen einleiten können.

Automation
Korrelieren Sie eingehenden Alarme der verschiedenen Datenquellen automatisch, um Duplikate zu vermeiden. Automatisieren Sie wiederkehrende Aufgaben zur schnellen und effizienten Analyse.

Response
Reagieren Sie durch angebundene Komponenten wie Firewalls und EDR-Systeme automatisch auf Alarmmeldungen und sorgen somit für schnelle Umsetzung von Gegenmaßnahmen bei einer Bedrohung.

SOAR unterstützt bei der Analyse

SOAR automatisiert den Analyse- und Reaktionsprozess nach einem Security Alarm.

Ohne SOAR

Zeitintensive Informationsgewinnung und Reaktion

Ohne ein SOAR-System müssen auflaufende Security Alarme zeitintensiv mit weiteren Informationen kontextualisiert und beurteilt werden. Zudem ist eine anschließende, manuelle Reaktion erforderlich, um die Auswirkungen des Sicherheitsvorfalls zu minimieren.

Mit SOAR

Automatische Kontextualisierung und Response

Ein SOAR-System reichert auflaufende Security Alarme automatisch mit weiteren Informationen an und führt erste Gegenmaßnahmen durch. Ein Security Analyst erhält umgehend alle relevanten Informationen und kann schnell und effizient weiterführende Maßnahmen einleiten.

Die wichtigsten FAQ aus dem Bereich SOAR

SOAR (Security Orchestration, Automation and Response) ist eine Kombination aus kompatiblen Programmen, die es einem Unternehmen ermöglicht, aus unterschiedlichsten Quellen Daten über Sicherheitsbedrohungen einzusammeln.

Security Orchestration, Automation and Response (SOAR) Systeme bieten eine Plattform, um eingehende Alarme verschiedener IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten. Dazu vereinen sie alle im Unternehmen relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Weiter bieten die Tools die Möglichkeit, automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Ein SOAR unterstützt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.

Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen im Rahmen des Incident Response Prozesses. Dazu vereint es auf einer Plattform alle im Unternehmen eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterstützt die Zusammenarbeit mehrerer Analysten an einem Case. Auch dient es zur Dokumentation vergangener Ereignisse.

  • Zentrale Anbindung aller Security Tools
  • Automatische (Vor-) Verarbeitung eingehender Security Alarme
  • Darstellung aller relevanten Informationen auf einen Blick
  • Einfache Zusammenarbeit zwischen Analysten und Cases
  • Automatische Reaktion bei bestätigten Vorfällen
  • Kontinuierliche Dokumentation aller Ereignisse

Wir haben Erfahrungen mit vielen führenden SOAR-Herstellern.
Zudem hat SECUINFRA strategische Partnerschaften mit Swimlane und Palo Alto Networks, um das Beste aus SOAR herauszuholen.*

Das SOAR-System unterstützt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten. Ein SOAR-System automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps oder reagiert mit spezifischen Maßnahmen auf Bedrohungen. Auch hilft ein SOAR bei der Zusammenführung aller Security-relevanten Systeme, Informationen und Personen auf einer Plattform, eine effiziente Arbeitsweise umzusetzen.

NEIN. Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen zu ergreifen.
Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse.

Immer mehr Unternehmen möchten ihren Security Prozess durch ein SOAR verbessern – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unmöglich wird. Durch SECUINFRA erhalten Sie die Möglichkeit, Ihr individuelles SOAR nach Baukastenprinzip zu realisieren. Dazu planen unsere Experten zusammen mit Ihnen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen.

SOAR Bereiche​

SC

SOAR Consulting​

SECUINFRA kann auf eine jahrelange Erfahrung im Bereich der Cyber Defence und Analyse von Sicherheitsvorfällen zurückblicken. Das gewonnene Know-how fließt in jedes neue Projekt mit ein.

MS

Co-Managed SOAR​​

Unser Co-Managed-SOAR-Ansatz unterstützt Sie genau da, wo Sie Unterstützung benötigen – flexibel, hybrid und vor allem transparent.

PL

SOAR Playbook-Library​

Sparen Sie Geld und Zeit bei der Erstellung von SOAR Playbooks. Greifen Sie auf unsere stetig wachsende Playbook-Library zurück.

Wo das SOAR System die Arbeit übernimmt

Der richtige SIEM und SOAR Einsatz am Beispiel des Incident Response Prozesses.

By introducing a SOAR system, we sustainably improve your security process and strengthen the reproducibility and quality of the analysis work.

Bereits vor Eintreffen eines Security Incidents stärkt das SOAR-System die Sicherheit im Unternehmen. Durch die Anbindung an alle relevanten Security-Systeme können Software-Stände auf ihre Aktualität oder Threat Intelligence Informationen überwacht werden.
Zudem beinhaltet das SOAR alle Playbooks, um im Falle eines Incidents automatisiert auf den Alarm zu reagieren und Erstmaßnahmen einzuleiten.

Die Erkennung eines potenziellen IT-Sicherheitsvorfalls teilt sich in verschiedene Bereiche. Dazu zählen die Alarme des SIEM-Systems, der Endpoint- oder Netzerk Detection and Response Lösung oder Mitarbeitern, die eine Phishing E-Mail melden.
Weiter kann der Analyseprozess auch durch Funde auch Threat Hunting oder durch Informationen von Threat Intelligence Quellen ausgelöst werden.

Nach dem initialen Alarm muss dieser durch weitere Informationen und die Korrelierung verschiedener Ereignisse beurteilt werden. Hier unterstützt das SOAR-System und stellt alle relevanten Informationen automatisch bereit. Zudem können aufgelaufene Alarme zusammengefasst oder de-dupliziert werden. Durch die gesammelten Informationen ist das SOAR zudem in der Lage, Alarme zu beurteilen und gegebenenfalls als False Positive zu identifizieren, bevor ein Analyst Arbeit investieren muss.

In der Phase des Containment leitet das SOAR-System, bezogen auf die zuvor gewonnenen Informationen, individuelle Erstmaßnahmen ein, um den potenziellen Schaden möglichst gering zu halten. Dazu zählt zum Beispiel die Isolierung eines Host Systems oder die Sperrung von Benutzeraccounts.
Zudem ermöglicht das SOAR einem Analysten alle Security Tools zentral zu steuern und stellt einen genauen Überblick über die aktuellen Schritte bereit.

Auch ermöglicht das SOAR-System die Anbindung eines Ticketing-Systems oder das Versenden von E-Mails, um weitere Personen über den Vorfall zu informieren.
Zudem findet innerhalb des gesamten Incident Response Prozesses eine kontinuierliche Dokumentation über alle Ereignisse statt.

Nach Abschluss der Analyse-Arbeiten bietet das SOAR-System die Möglichkeit, die getroffenen Containment-Maßnahmen automatisch oder manuell zurückzunehmen. Weiter können z.B. durch Anbindungen an Active Directory bei Bedarf Passwörter zurückgesetzt werden.
Alle gesammelten Indicator of Compromise bleiben im SOAR-System enthalten, um spätere Alarme zu korrelieren.

Durch den nachvollziehbaren Ablauf innerhalb des Incident Response-Prozesses sowie der kontinuierlichen Dokumentation aller Schritte bietet das SOAR-System eine klare Übersicht des Vorfalls und eine Grundlage für anschließende Lessons Learned.

Darum SECUINFRA

  • Innovation
    Die kontinuierliche Betreuung und Weiterentwicklung des SOAR-Systems durch Cyber Defence Experten von SECUINFRA ermöglichen es, auf eine ständig veränderte Bedrohungslandschaft zu reagieren.
  • Expertise
    SECUINFRA kann auf eine jahrelange Erfahrung bei der Use Case Entwicklung und Analyse von Sicherheitsvorfällen zurückblicken. Das gewonnene Know-how fließt in jedes neue Projekt mit ein.
  • Kundenorientierung
    Durch die langjährige Erfahrung von SECUINFRA im Consulting Bereich können unsere Cyber Defense Experten Ihre Wünsche gezielt angehen.
  • Partnerschaften
    Im Rahmen unserer Partnerschaften zu führenden Herstellern haben wir einen direkten Kommunikationsweg und können auf Veränderungen zielgerichtet reagieren.
  • Umfassend
    Das Projekt hört nach der SOAR-Implementierung nicht auf. SECUINFRA betreut Sie auf Wunsch auch bei der Analyse und Weiterentwicklung.

Strategische Partner

Unsere langjährigen strategischen Partnerschaften pflegen wir vorrangig mit den Unternehmen Paloalto Networks und Swimlane.

Nehmen Sie hier Kontakt zu uns auf!

Kontaktformular Seitenende

Kontaktformular am Seitenende

*“ zeigt erforderliche Felder an

Cookie Consent mit Real Cookie Banner