top of page

SOAR

La plataforma de operaciones de seguridad Exabeam ofrece capacidades SOAR integradas que incluyen gestión de automatización, manuales de estrategias predefinidos y un editor de manuales de estrategias sin código. Juntos, simplifican las tareas rutinarias y aceleran la resolución.

Solicita una reunión

Al facilitar sus datos personales, usted acepta que DIGISOC® utilice esta información para enviarle contenido relacionado con la ciberseguridad y con fines promocionales. Puede cambiar sus preferencias en cualquier momento.

¡Gracias por tu mensaje!

GESTIÓN DE LA AUTOMATIZACIÓN

Simplifica y automatice flujos de trabajo críticos

Administra y configura reglas de automatización y activadores para la plataforma de operaciones de seguridad Exabeam. Centraliza la gestión de los flujos de trabajo de automatización para una detección, investigación y respuesta ante amenazas (TDIR) más rápida.

 ACELERAR LA RESPUESTA

Agiliza la gestión de incidentes

Agiliza el tiempo de resolución con manuales de estrategias predefinidos, documentación de procesos simplificada y acciones estandarizadas. Vea, deshabilite o clone manuales de estrategias para facilitar la personalización y la repetibilidad.

 MITIGACIÓN EFICIENTE DE AMENAZAS

Mejora los flujos de trabajo automatizando procesos

Configura flujos de trabajo automatizados para clasificar alertas, escalar casos, recopilar contexto e iniciar acciones de respuesta. Los flujos de trabajo automatizados permiten a los analistas abordar rápidamente amenazas comunes, lo que minimiza el tiempo de investigación.​

 SIMPLIFICAR LA EDICIÓN

Estandarizar acciones de respuesta sin escribir código

Define fácilmente activadores de alertas, condiciones y acciones con una experiencia de manual de estrategias fácil de usar y sin código. Una interfaz intuitiva simplifica la creación y actualización de manuales de estrategias con unos pocos clics, sin necesidad de scripts. 

GESTIÓN INTEGRADA DE CASOS

Orquesta acciones desde un entorno de trabajo unificado

Organiza y automatiza desde una única plataforma. Integra con soluciones de colaboración y gestión de casos. Adapta los casos de uso a las necesidades únicas de su organización para una respuesta más eficiente y resistente a errores.

3 capacidades clave de SOAR

Las herramientas SOAR proporcionan las siguientes tres capacidades que ayudan a los Centros de Operaciones de Seguridad (SOC) a responder a los incidentes de manera más efectiva.

Orquestación

La orquestación es la capacidad de coordinar la toma de decisiones y automatizar acciones de respuesta basadas en una evaluación de los riesgos y los estados del entorno.


Las herramientas SOAR pueden lograr esto integrándose con otras soluciones de seguridad de manera que les permita “extraer” datos y también “impulsar” acciones proactivas. SOAR proporciona una interfaz genérica que permite a los analistas definir acciones sobre herramientas de seguridad y sistemas de TI sin ser expertos en esos sistemas o sus API.


Un ejemplo de orquestación: procesar un correo electrónico sospechoso.

  • Una herramienta SOAR puede investigar si el remitente tiene mala reputación, a través de inteligencia de amenazas, y utilizar herramientas DNS para confirmar el origen.

  • La herramienta puede extraer automáticamente hipervínculos y validarlos a través de la reputación de URL, detonar los enlaces en un entorno seguro o ejecutar archivos adjuntos en un entorno aislado.

  • Luego, si se confirma un incidente, se ejecuta un manual de estrategias que busca en el sistema de correo electrónico todos los mensajes del mismo remitente o con los mismos vínculos o archivos adjuntos y los pone en cuarentena.

Automatización

La automatización está relacionada con la orquestación: es la ejecución de acciones impulsadas por máquinas en herramientas de seguridad y sistemas de TI, como parte de una respuesta a un incidente. Las herramientas SOAR permiten a los equipos de seguridad definir pasos de automatización estandarizados y un flujo de trabajo de toma de decisiones, con capacidades de cumplimiento, seguimiento de estado y auditoría.


La automatización se basa en manuales de seguridad, que los analistas pueden codificar utilizando una interfaz de usuario visual o un lenguaje de programación como Python.


Un ejemplo de un manual de automatización: el manual de malware de Exabeam.
 

  • La herramienta SOAR escanea el archivo de malware y lo detona en un sandbox utilizando servicios externos.

  • La herramienta SOAR compara el archivo con servicios de reputación como VirusTotal para verificar su precisión.

  • La herramienta SOAR identifica la geolocalización de la fuente o dirección IP de origen.

  • El sistema notifica al usuario sobre el malware y se realiza una limpieza posterior al análisis.

Gestión de incidentes y colaboración

Esta capacidad SOAR ayuda a los equipos de seguridad a gestionar incidentes de seguridad, colaborar y compartir datos para resolver el incidente de manera eficiente.
 

  • Procesamiento y clasificación de alertas: una herramienta SOAR recopila y analiza datos de seguridad, generalmente extraídos del SIEM, correlaciona los datos para identificar la prioridad y la criticidad, y genera automáticamente incidentes para su investigación. El incidente ya incluye información de contexto relevante, lo que permite a los analistas investigar más a fondo. Esto elimina la necesidad de que un humano observe los datos de seguridad relevantes, los identifique como un incidente de seguridad y configure manualmente un incidente en el sistema.
     

 

  • Registro y respaldo probatorio: una herramienta SOAR proporciona un cronograma de investigación para recopilar y almacenar artefactos del incidente de seguridad, para su análisis actual y futuro. Los artefactos pueden estar relacionados con actividades conocidas del atacante, que pueden llevarse a cabo durante un período prolongado. Se pueden extraer artefactos adicionales para investigar si están relacionados con el incidente en curso.
     

 

  • Gestión de casos: la herramienta puede registrar las acciones y decisiones tomadas por el equipo de seguridad, haciéndolas visibles para toda la organización, así como para los auditores externos. Con el tiempo, la herramienta SOAR crea una base de conocimiento organizacional de conocimiento tribal: amenazas, incidentes, respuestas y decisiones históricas y sus resultados.

 

  • Gestión de la inteligencia sobre amenazas: una herramienta SOAR incorpora datos sobre amenazas de bases de datos de código abierto, líderes de la industria, organizaciones de respuesta coordinada y proveedores comerciales de inteligencia sobre amenazas. La herramienta SOAR vincula la información sobre amenazas relevante a incidentes específicos y permite que los analistas puedan acceder fácilmente a la inteligencia sobre amenazas mientras investigan un incidente.

CASO DE ESTUDIO
 

 Principal proveedor de tecnología crea una visión global de la seguridad 

Fundada en 1988, la empresa cuenta con un equipo global de más de 129.000 empleados en más de 50 países y regiones. La empresa está transformando su papel anterior como creador de sistemas en un socio comercial global que lidera el camino hacia el éxito comercial internacional.

 

Solo la unidad de negocios de Japón tiene 34.500 empleados y es un actor dominante en la administración pública y los servicios financieros. También presta servicios a una variedad de clientes en construcción, bienes raíces, fabricación, logística, venta minorista, radiodifusión, medios, publicidad, comunicaciones, transporte y energía. Las ventas netas anuales consolidadas fueron de ¥2,1 billones (US$18.9 mil millones) al 31 de marzo de 2019. Las acciones de la empresa cotizan públicamente como NTT DATA (TSE:9613).

Desafío

El desafío comercial para la seguridad de la organización era gestionar múltiples plataformas de seguridad y gestión de eventos de información (SIEM) heredadas que quedaron de sus adquisiciones comerciales. Las capacidades heredadas no podían analizar todos los datos operativos y de seguridad, que habían aumentado en órdenes de magnitud durante los últimos cinco años y estaban creciendo rápidamente.

Beneficios clave

  • Mayor seguridad y cumplimiento normativo a nivel mundial para empresas con análisis de comportamiento de cantidades ilimitadas de datos de seguridad.
     

  • Mayor visibilidad sobre los riesgos empresariales y un método proactivo para abordar los problemas de seguridad.
     

  • Una solución internacional que admite datos ilimitados con un modelo de precio fijo.

Resultados

La implementación que se llevó a cabo a principios de 2019 en la sede de Japón se está extendiendo gradualmente a América del Norte, Europa y Asia Pacífico. Con la migración, la empresa está desmantelando todos los SIEM heredados.

Para impulsar el cambio, los equipos de implementación ayudaron a acelerar el uso de más de 50 casos de uso. Los casos de uso son escenarios de seguridad únicos en los que se aplica el SIEM de Exabeam para la detección, el seguimiento y la reparación.

Cincuenta casos de uso son un comienzo agresivo para muchas implementaciones de SIEM, pero Exabeam facilita el proceso al proporcionar modelos de soporte para más de 400 casos de uso.​

bottom of page