Risikobewusste Unternehmen haben in der Regel mehrere IT-Sicherheitslösungen im Einsatz, um ihre Organisation vor Cyberbedrohungen zu schützen. Auch wenn die einzelnen Tools optimal funktionieren - sie arbeiten nicht unbedingt zusammen.

Welche Vorteile bietet SOAR? Die 5 wichtigsten FAQ zu Security Orchestration Automation & Response!

IT Security Teams müssen häufig zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzudämmen. Denn jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und interpretiert werden. Aufgrund begrenzter Ressourcen und dem Mangel an verfügbaren Fachkräften besteht für viele Unternehmen die besondere Herausforderung, mit dieser Entwicklung Schritt zu halten. Aus diesem Grund hat die Weiterentwicklung von Security Orchestration, Automation and Response (SOAR) deutlich an Fahrt aufgenommen.

Aber welche Vorteile bieten SOAR-Lösungen eigentlich konkret und was erreichen Unternehmen damit? Wir geben nachfolgend Antworten auf die 5 meist gestellten Fragen zum Thema SOAR!  

Was ist SOAR und wozu brauche ich es?

Security Orchestration, Automation and Response (SOAR)- Systeme bieten eine Plattform, um eingehende Alarme unterschiedlicher IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten. Dazu vereinen sie alle relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Für den initialen Alarm beziehen SOAR-Systeme Informationen aus einem SIEM-, EDR- oder NDR-System. Auch die Anbindung eines E-Mail-Postfachs zur Phishing Analyse ist denkbar. Der Alarm wird zur weiteren Kontextualisierung mit öffentlichen Threat Intelligence Informationen, Ergebnissen von Datei-Analyse-Tools oder internen Datenbanken angereichert. Weiter bietet SOAR die Möglichkeit, über die angebundenen Systeme automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Dazu zählt zum Beispiel das Deaktivieren von Benutzerkonten, das Isolieren von betroffenen Hosts oder die automatische Erstellung von Domain-Block-Listen. Ein SOAR unterstützt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.

Zur automatischen Verarbeitung der Alarme kommen innerhalb des SOAR-Systems Playbooks zum Einsatz. Diese beinhalten, bezogen auf den jeweiligen Anwendungsfall, einen definierten Ablauf zur Informationssammlung, Analyse und Reaktion. Dabei können Playbooks auf unterschiedliche Ergebnisse innerhalb des Analyseprozesses reagieren und entsprechende Handlungsschritte einleiten.

Playbook sind mit dem Aufbau eines Runbooks zur Analyse vergleichbar, arbeiten die erforderlichen Schritte jedoch automatisiert ab.

Welche Vorteile bietet SOAR?

Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen im Rahmen des Incident Response Prozesses. Konkret hilft das SOAR Security Analysten durch die automatische (Vor-) Verarbeitung von Informationen und Alarmen. Dazu vereint es auf einer Plattform alle eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterstützt die Zusammenarbeit mehrerer Analysten an einem Case. Somit können Security Analysten effizienter arbeiten und potenzielle Schäden zielgerichtet abwenden. Auch dient das SOAR zur Dokumentation vergangener Ereignisse.

Zusammengefasst erreichen Sie mit einem SOAR:

  • Zentrale Anbindung aller Security Tools
  • Automatische (Vor-) Verarbeitung eingehender Security Alarme
  • Darstellung aller relevanten Informationen auf einen Blick
  • Einfache Zusammenarbeit zwischen Analysten und Cases
  • Automatische Reaktion bei bestätigten Vorfällen
  • Kontinuierliche Dokumentation aller Ereignisse

Ersetzt ein SOAR unsere Security Analysten?

Das SOAR-System unterstützt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten. Ein SOAR-System automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps und reagiert mit spezifischen Maßnahmen auf Bedrohungen.

Auch vereint es für eine zentrale Steuerung alle Security relevanten System im Unternehmen auf einer Plattform und bietet eine Übersicht für alle Security Analysten.

SOAR-Systeme verfolgen das Ziel, die Arbeit von Security Analysten durch automatisierte Verarbeitungsschritte zu unterstützen sowie erste Schutzmaßnahmen einzuleiten. Die abschließende Beurteilung eines Alarms obliegt weiterhin dem Analysten.

Kann SOAR unser SIEM ersetzen?

NEIN. Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Hierfür sammelt es zunächst aus unterschiedlichen Quellen Daten ein und analysiert diese mittels Use-Cases in Echtzeit. Werden Auffälligkeiten erkannt, alarmiert das SIEM. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen, wie die Isolierung eines Hosts oder die Sperrung von Benutzerkonten, zu veranlassen.

Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, das Einleiten von ersten Schutzmaßnahmen, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse.

Unsere SOAR-Lösung funktioniert nicht zufriedenstellend. Wie können Sie mir weiterhelfen?

Immer mehr Unternehmen möchten ihren Security Prozess durch ein SOAR verbessern – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unmöglich wird. Durch SECUINFRA erhalten Sie die Möglichkeit, Ihr individuelles SOAR nach Baukastenprinzip zu realisieren. Dazu planen unsere Experten zusammen mit Ihnen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen.

Die Betreuung eines SOAR-Systems ist dabei keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, um auf die stetig veränderte Bedrohungslage bestmöglich zu reagieren.

fazitanfang

Sie möchten Ihren Security Prozess durch ein SOAR verbessern oder Ihre bestehende Lösung optimieren?

Unsere Cyber Defense Experten unterstützen Sie dabei! Kontaktieren Sie uns oder rufen Sie uns an: +49 30 5557021 11

fazitende

Simon Hanke · Autor

Cyber Defense Consultant

Im Rahmen seines dualen Informatik-Studiums mit SECUINFRA hat sich Simon bereits früh im Bereich der IT Security spezialisiert und sein Interesse an diesem Feld stetig gefestigt. In den verschiedenen Praxisphasen des Studiums fokussierte er sich auf die Gebiete der Netzwerkanalyse und Automatisation von Security Prozessen.

Im Rahmen seines dualen Informatik-Studiums mit SECUINFRA hat sich Simon bereits früh im Bereich der IT Security spezialisiert und sein Interesse an diesem Feld stetig gefestigt. In den verschiedenen Praxisphasen des Studiums fokussierte er sich auf die Gebiete der Netzwerkanalyse und Automatisation von Security Prozessen. Dabei konnte er sein Wissen über Tools und Erkennungsmöglichkeiten von Angriffen weiter ausbauen und vertiefen. In verschiedenen Projekten wendet Simon seine Kenntnisse an und stärkt die Cyber Defense bei Kunden der SECUINFRA.

Cyber Defense Consultant

During his dual computer science studies with SECUINFRA, Simon specialized in the field of IT security at an early stage and steadily consolidated his interest in this field. In the various practical phases of his studies, he focused on the areas of network analysis and automation of security processes.

During his dual computer science studies with SECUINFRA, Simon specialized in the field of IT security at an early stage and steadily consolidated his interest in this field. In the various practical phases of his studies, he focused on the areas of network analysis and automation of security processes. In doing so, he was able to further expand and deepen his knowledge of tools and detection options for attacks. In various projects Simon applies his knowledge and strengthens the Cyber Defense at SECUINFRA's customers.

Ramon Weil · Autor

Founder & CEO

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt.

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt. Vor der Gründung von SECUINFRA war Ramon mehr als 20 Jahre im Bereich IT & IT-Security tätig. Unter anderem hat er bei Siemens im Security Operation Center (SOC) gearbeitet, den Back Level Support für IT-Security Produkte bei Siemens aufgebaut und weltweit IT- Security Projekte umgesetzt und geleitet. Von 2006 bis zur Gründung von SECUINFRA hat Ramon das IT-Security Geschäft für Siemens und später Nokia Siemens Networks (NSN) in der Region Asia Pacific (APAC) aufgebaut. Neben zahlreichen IT-Security Produkt-Zertifizierungen ist er seit 2006 CISSP und seit 2010 CISM.

Founder & CEO

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany.

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany. Before founding SECUINFRA, Ramon worked for more than 20 years in the field of IT & IT security. Among other things, he worked at Siemens in the Security Operation Center (SOC), established the back level support for IT security products at Siemens and implemented and managed IT security projects worldwide. From 2006 until the foundation of SECUINFRA, Ramon built up the IT Security business for Siemens and later Nokia Siemens Networks (NSN) in the Asia Pacific (APAC) region. In addition to numerous IT security product certifications, he has been a CISSP since 2006 and a CISM since 2010.
Beitrag teilen auf: