DEV Community

rafaelbonilha
rafaelbonilha

Posted on

O que é SOAR?

Origens do SOAR

SOAR é a sigla de orquestração de segurança, automação e resposta, sendo um conjunto de serviços e ferramentas que automatizam a prevenção e a resposta de ataques cibernéticos. Ele pode ser uma solução de software ou várias soluções que ajudam os times de segurança no trabalho de analizar e coordenar respostas as ameaças e ataques.

O SOAR surgiu como termo pela primeira vez em 2015 usado pelo Gartner, as plataformas SOAR combinam funções de resposta a incidentes de segurança, orquestração e inteligência de ameaça em uma única solução.

Como o SOAR funciona?

Dessa maneira, o SOAR atua principalmente em 3 funções: Orquestração de Segurança, Automação de Segurança e Resposta a Incidentes.

Image description

Orquestração de Segurança
Automação de Segurança
Resposta a incidentes

Estas 3 funcionalidades trabalham juntas para analisar, localizar e impedir ameaças e ataques. A seguir iremos abordar cada uma delas.

Orquestração de Segurança

Orquestração de segurança refere-se a como as plataformas SOAR conectam e coordenam as ferramentas de hardware e software no sistema de segurança de uma empresa.
Os SOCs usam várias soluções para monitorar e responder a ameaças, como firewalls, atualizações de inteligência de ameaça e ferramentas de proteção de terminais. Mesmo os processos de segurança mais simples podem compreender diversas ferramentas, o que pode tornar o gerenciamento complexo e maior tempo para respostas a incidentes.

Com um SOAR, os SOCs podem unificar essas ferramentas em fluxos de trabalho coerentes e replicáveis de operações de segurança (SecOps). Os SOARs usam interfaces de programação de aplicativos (APIs), plug-ins pré-construídos e integrações customizadas para conectar as ferramentas de segurança. Após integrar essas ferramentas, os SOCs podem coordenar suas atividades com os playbooks para poder ter uma maior assertividade nas atividades de segurança.
Playbooks são mapas de processos que os analistas de segurança podem usar para montar a estrutura das etapas de processos de segurança padrão como detecção, investigação e resposta de ameaças.

Automação de Segurança

As soluções de segurança SOAR podem automatizar tarefas de baixa importância, demoradas e repetitivas, como abrir e fechar chamados, detalhamento de eventos e priorização de alertas. Os SOARs também podem ativar as ações automatizadas das ferramentas de segurança integradas com ele.

Isso significa que os analistas de segurança podem usar os fluxos de trabalho do playbook para reunir diversas ferramentas e implementar a automação mais complexa de operações de segurança. As modernas plataformas SOAR incluem o uso massivo de IA (inteligência artificial) e machine learning para análise de dados e automação de processos ou fluxo de ações de segurança, diminuindo o trabalho manual e tornando mais eficientes os processos dos playbooks usados pelo SOC.

Resposta a incidentes

Os recursos de orquestração e automação do SOAR permitem que ele sirva como um console central para resposta a incidentes de segurança. Os analistas de segurança podem usar os SOARs para investigar e corrigir incidentes sem precisar alternar entre diversas ferramentas, o que geraria perda de tempo e complexidade adicional para responder a um incidente ou ameaça.

Os dados do SOAR podem ajudar os times de segurança a identificar ameaças que estejam ocorrendo e que passaram desapercebidas ou direcionar as ações de identificação de amaeças para os lugares mais prováveis graças as ferramentas do SOAR.

Principais Ferramentas de SOAR

A seguir algumas das ferramentas de SOAR mais usadas no mercado.

Microsoft Sentinel - Ferramenta da Microsoft que além de SOAR, também usar recursos SIEM para uma abordagem de SecOps abrangente.

IBM Security QRADAR SOAR - Ferramenta da IBM para SOCs com um conjunto de recursos SOAR compatíveis com diversas regulamentações nacionais e internacionais de privacidade e violação de dados.

Splunk Phantom - Ferramenta SOAR que faz parte do Splunk Enterprise, com suporte a mais de 200 ferramentas de terceiros e com uma ampla biblioteca de playbooks pré-configurados.

Palo Alto Cortex XSOAR - Ferramenta da Palo Alto de SOAR que possui integração com mais de 450 ferramentas de segurança de terceiros e fontes de dados.

E quais os benefícios do SOAR?

As ferramentas SOAR ajudam a simplificar o SecOps de uma organização, trazendo os seguintes benefícios: Maior produtividade, Otimização de custo, uma maior facilidade de colaboração e integração, Respostas mais rápidas a incidentes, Impedir ataques complexos e Uma visão centralizada de atividade de segurança.

Referências.:
https://www.redhat.com/pt-br/topics/security/what-is-soar

https://www.microsoft.com/pt-br/security/business/security-101/what-is-soar

https://www.ibm.com/br-pt/topics/security-orchestration-automation-response

https://aws.amazon.com/pt/solutions/automations/security-orchestration-automation-response/

https://www.linkedin.com/advice/0/youre-struggling-automate-your-security-what-jqdxf?lang=pt&originalSubdomain=pt

Top comments (0)