Wie SOAR die Effizienz und Effektivität der Analyse- und Incident Response-Prozesse steigert

SOAR hilft Security Analysten während der Vorfallanalyse und innerhalb des Incident Response Prozesses, sich auf die wichtigen Informationen und Ereignisse zu konzentrieren und potenzielle IT Security-Vorfälle zielgerichtet abzuwenden.

Was ist ein SOAR?

Security Orchestration, Automation and Response (SOAR) Systeme bieten eine Plattform, um eingehende Alarme verschiedener IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten. Dazu vereinen sie alle im Unternehmen relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Weiter bieten die Tools die Möglichkeit, automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Ein SOAR unterstützt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.

Orchestration

An ein SOAR sind alle Systeme angebunden, die einen potenziellen IT-Sicherheitsvorfall initial erkennen, weitere Informationen zur Beurteilung liefern oder Schutzmaßnahmen einleiten können. Konkret handelt es sich dabei um die Anbindungen des unternehmensinternen SIEM-Systems, EDR (Endpoint Detection & Response) oder einer Pishing-Detection. Weiter zählen als wichtige interne Datenquellen das Active Directory, CMDB (Configuration Management Database) und Netzwerkinformationen aus NDR-Systemen. Als externe Datenquellen unterstützen die Anbindung an Threat Intelligence-Informationen oder die Datei-Analyse mit weiteren Informationen. Tool-Integrationen für die Einleitung von situationsabhängigen Schutzmaßnahmen runden die angebundenen Komponenten an das System ab.

Automation

Die Hauptaufgabe eines SOAR besteht darin, alle eingehenden Alarme der verschiedenen Datenquellen automatisiert mit weiteren Informationen anzureichern und gegebenenfalls reaktive Maßnahmen zu ergreifen. Dazu wird jeder Alarm durch ein Alarm-spezifisches Playbook verarbeitet, welches mit den angebundenen Tools interagiert und somit den Analysten bei seiner Arbeit unterstützt. Weiter werden eingehende Alarme automatisiert de-dupliziert oder Case-bezogen zusammengefasst, was die Übersicht erleichtert.

Response

Im Bereich der Response bietet ein SOAR durch angebundene Komponenten wie Firewalls, EDR-Systeme oder Active Directory eine schnelle und automatisierte Reaktion auf eingehende Alarmmeldungen. Dabei kann durch die erstellten Playbooks gesteuert werden, ob eine Aktion zur Blockierung einer IP-Adresse oder Isolation eines Hosts mit oder ohne Freigabe durch einen Security Analysten initiiert wird.

Was erreiche ich mit SOAR?

Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen im Rahmen des Incident Response Prozesses. Dazu vereint es auf einer Plattform alle im Unternehmen eingesetzten Security Tools, kombiniert die vorliegenden Informationen, unterstützt die Zusammenarbeit mehrerer Analysten an einem Case und dient zur Dokumentation vergangener Ereignisse.

SOAR Systeme bieten in der Regel für alle gängigen Security Tools passende Integrationen an, um diese einfach mit der Plattform zu verbinden. Über das SOAR können anschließend alle Integrationen automatisiert über Playbooks oder manuell durch den Analysten gesteuert und passende Aktionen ausgelöst werden. Sollte eine Integration für ein Tool nicht vorhanden sein, besteht i.d.R. die Möglichkeit, eigene Anbindungen zu entwickeln.

Security Analysten erstellen für unterschiedliche Bedrohungs-Szenarien Playbooks, die die Analysearbeit innerhalb des Incident Response Prozesses unterstützen. Dabei liegt der Fokus zum einen auf der Anreicherung des initialen Alarms mit weiteren Informationen aus verschiedenen Systemen wie EDR oder SIEM sowie der automatischen Reaktion auf das vorliegende Ereignis. Weiter dient ein Playbook dem Analysten als Vorgabe der einzelnen Arbeitsschritte im Rahmen eines Runbooks sowie der gleichzeitigen Dokumentation des Vorfalls. Dadurch ist die Reproduzierbarkeit und Qualität der Analysearbeit auch bei wechselnden Security Analysten oder bei Arbeiten im Team gesichert.

Zur Dokumentation eines Alarms sowie zur Übersicht verschiedener Cases stellt ein SOAR verschiedene, auf die eigenen Bedürfnisse anpassbare Dashboards und Reports bereit. Diese unterstützen Security Analysten neben konkreten Analyse-Tätigkeiten auch bei der Dokumentation verschiedener Alarme oder der späteren Korrelation unterschiedlicher Ereignisse und Indicators of Compromise.

Weiter bieten die SOAR-Lösungen durch ein Benutzer- und Rechte-Management die Möglichkeit der Zusammenarbeit mehrerer Personen und Teams innerhalb eines Alarms sowie eine Eskalation des Falls zu weiteren verantwortlichen Mitarbeitern. SOAR unterstützt auch bei der Einhaltung von definierten SLAs (Service Level Agreements) und der Einbindung beteiligter Dritter innerhalb des Incident Response Prozesses.

Beispiel für den Einsatz von SOAR

Als Beispielszenario könnte das SOAR einen Bruteforce-Alarm über ein angebundenes SIEM System erhalten.

Der Alarm wurde durch einen Benutzer ausgelöst, der sich in kurzer Zeit mehrmals mit einem Account der unternehmensinternen Domain an einem Client falsch authentifiziert hat.

• Nach Eingang des Alarms in das SOAR startet dieses automatisch das dazugehörige Playbook. Das Tool ergänzt zunächst die vorliegenden Informationen des Alarms mit weiteren Eigenschaften des betroffenen Benutzeraccounts über das angebundene Active Directory.
• Es erfolgt die Überprüfung mithilfe der vorliegenden Log-Daten des SIEM, ob es nach den fehlerhaften Anmeldeversuchen einen erfolgreichen Login des Benutzers gab. Dazu werden zu der Quell-IP-Adresse der Login-Versuche weitere Attribute wie die Unterscheidung zwischen privater und öffentlicher IP oder dessen Standort ermittelt. Auch kann das Playbook den vorliegenden Alarm mit ähnlichen Alarmen aus der Vergangenheit korrelieren.
• Alle gesammelten Informationen werden dem Analysten anschließend über Dashboards übersichtlich zur Verfügung gestellt.
• In einem weiteren Schritt kann das laufende Playbook automatisch den betroffenen Nutzer über eine versendete E-Mail kontaktieren und erfragen, ob die Anmeldeversuche von diesem ausgelöst wurden oder weitere Hinweise vorliegen. Auch diese Inhalte stehen dem Analysten zur weiteren Beurteilung zur Verfügung.
• Anschließend wechselt das Playbook in die Phase der Remediation und führt basierend auf den zuvor gesammelten Informationen entsprechende Maßnahmen durch. Dies kann zum Beispiel die Isolation des Hosts über ein angebundenes EDR-System oder die Deaktivierung des betroffenen Benutzer-Accounts innerhalb des Active Directory sein. Auch besteht die Möglichkeit, bei Bedarf das Password des Accounts zurückzusetzen und den Benutzer über diesen Schritt zu informieren. Dabei kann der Security Analyst – je nach Playbook Design – entscheiden, ob die angesprochenen Maßnahmen automatisch oder erst nach einer manuellen Freigabe erfolgen sollen.
• Weiterhin besteht nach der Durchführung der Schutzmaßnahmen auch die Möglichkeit, diese im Falle eines False Positives wieder automatisch zurückzunehmen.
• Parallel zu den Vorgängen erstellt das SOAR eine Dokumentation des Ereignisses.
• Zusätzlich kann das Ereignis auch in angebundenen Komponenten wie beispielsweise einem Ticket-System reflektiert werden.

Wo sind die Grenzen von SOAR?

Je nach Hersteller des SOAR sind die Möglichkeiten der oben beschriebenen Funktionen unterschiedlich ausgeprägt. Dazu zählt zum einen die Auswahl der möglichen Integrationen verschiedener Security Tools. Auch die Fähigkeiten der Daten-Konvertierung und Anpassung bei Dateneingang oder während der Verarbeitung innerhalb eines Playbooks gehören dazu. Weiter variieren der Funktionsumfang des Playbook-Editors, die Möglichkeiten der Darstellung der Alarminformationen sowie der Funktionsumfang des Reportings bei der Auswahl der passenden SOAR Software.

Auch ist zu beachten, dass ein SOAR die Arbeit von Security Analysten nicht ersetzt, sondern diese gezielt unterstützt. Dazu zählt vor allem die Automatisierung wiederkehrender Aufgaben eines Alarmtyps oder die erleichterte Steuerung spezifischer Maßnahmen. Des Weiteren hilft auch die Zusammenführung aller Security-relevanten Systeme, Informationen und Personen auf einer Plattform, eine effiziente Arbeitsweise umzusetzen.

SOAR und SIEM – Ein Dreamteam?

Wie bereits angesprochen, steht ein SOAR nicht in Konkurrenz zu einem vorhandenem SIEM System, sondern steigert die Effizienz der Security Prozesse.

Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Dazu aggregiert und korreliert es alle im Unternehmen vorliegenden Security-relevanten Log-Informationen von Clients, Servern oder Netzwerkkomponenten. Mithilfe von implementierten Erkennungs-Regeln (sog. Use Cases) werden die eingehenden Informationen untersucht und etwaige Bedrohungen identifiziert. Nach dem initialen Alarm des SIEM-Systems ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es weiter notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen zu ergreifen.

Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse. Durch die Kombination aus SIEM und SOAR wird der Security Prozess innerhalb des Unternehmens nachhaltig beschleunigt, die Reproduzierbarkeit und Qualität der Analysearbeit gestärkt sowie die Dokumentation verschiedener Ereignisse vereinheitlicht.