Im Bereich der Cybersicherheit steht SOAR f¨¹r ?Security Orchestration, Automation und Response¡°. Dazu geh?rt jede Software oder jedes Tool, mit der oder dem Unternehmen cybersicherheitsbezogene Daten sammeln und analysieren k?nnen.
Was ist SOAR und wie funktioniert es?
Mit SOAR-Systemen k?nnen Organisationen verschiedene Tools und Funktionen nutzen, um alle ihre sicherheitsrelevanten Daten f¨¹r eine bessere Reaktion auf Vorf?lle einzusetzen.
Die Hauptkomponenten eines SOAR-Systems sind:
Orchestrierung
Die Sicherheitsorchestrierung beschleunigt und verbessert die Reaktion auf Vorf?lle durch die Integration und Analyse von Daten aus verschiedenen Technologien und Sicherheitstools. Zur Orchestrierung geh?rt auch die Koordinierung verschiedener Cybersicherheitstechnologien, um Organisationen bei der Bew?ltigung komplexer Cybersicherheitsvorf?lle zu unterst¨¹tzen. Ein SOAR-Tool kann beispielsweise IT-Betriebsdaten f¨¹r die Netzwerksicherheit zusammenstellen, indem es Daten aus Netzwerk¨¹berwachungsprogrammen als Grundlage f¨¹r Firewall-Regeln verwendet.
Automatisierung
Eine der Schl¨¹sselfunktionen jedes SOAR-Tools ist die Automatisierung, wodurch die sehr zeitaufwendige manuelle Erkennung und Reaktion auf Sicherheitsvorf?lle entf?llt. SOAR-Systeme k?nnen beispielsweise bestimmte Arten von Ereignissen automatisch einordnen und es Sicherheitsteams erm?glichen, standardisierte, automatisierte Verfahren zu definieren, wie z.?B. Entscheidungsfindungs-Workflows, Zustandspr¨¹fungen, Durchsetzung und Eind?mmung sowie Audits.
Reaktion
SOAR-Plattformen sammeln Daten von anderen Sicherheitstools, wie z.?B. SIEM-Systemen (Security Information and Event Management) und Threat-Intelligence-Feeds. Sie priorisieren Sicherheitsereignisse und senden wichtige Informationen ¨¹ber den Sicherheitsvorfall an das Sicherheitspersonal.
Fallmanagement
Das Fallmanagement ist eine grundlegende Komponente jeder SOAR-Plattform. Fallmanagementfunktionen erm?glichen Sicherheitsanalysten den Zugriff auf einzelne Falldatens?tze, sodass sie alle Daten zu einem bestimmten Vorfall dynamisch analysieren und mit ihnen interagieren k?nnen, um ihre Sicherheitsreaktionsprozesse zu verbessern und zu optimieren.
Dashboard
Das Dashboard eines SOAR-Tools bietet einen ?berblick ¨¹ber alles, was in Bezug auf die Nummern 1, 2, 3, 4 und dar¨¹ber hinaus geschieht, d.?h. ¨¹ber alle sicherheitsrelevanten Daten und Aktivit?ten, einschlie?lich bemerkenswerter Ereignisse und deren Schweregrad, Playbooks, Verbindungen mit anderen Sicherheitstools, Workloads und sogar einer Zusammenfassung des ROI aus automatisierten Aktivit?ten. Normalerweise k?nnen Sie ein SOAR-Dashboard nach Zeitraum, Datenquelle oder Benutzer filtern. Widgets k?nnen aktiviert oder deaktiviert oder entsprechend Ihren W¨¹nschen neu angeordnet werden. Kurz gesagt, es ist Ihr zentraler Knotenpunkt, ¨¹ber den Sie ¨¹berwachen k?nnen, was Ihr SOAR-System tut und wie gut es das tut.
Wie erkennt eine SOAR-L?sung Bedrohungen?
SOAR-Systeme durchsuchen und sammeln Daten aus einer Vielzahl von Quellen und nutzen dann eine Kombination aus menschlichem und maschinellem Lernen, um diese Daten zu analysieren, potenzielle Bedrohungen zu erkennen und Pl?ne und Ma?nahmen f¨¹r die Reaktion auf Vorf?lle zu priorisieren. In der Regel automatisieren Unternehmen das SOAR-System, damit es die Cybersicherheit m?glichst effizient unterst¨¹tzen kann.
SOAR-Datenquellen
SOAR-Systeme beziehen und analysieren Daten aus einer Reihe verschiedener Quellen, darunter:
- Schwachstellen-Scanner, d.?h. Computerprogramme zur Bewertung von Sicherheitsl¨¹cken in Computern, Netzwerken oder Anwendungen.
- Software zum Schutz von Endpunkten, die die Endpunkte einer Organisation, wie Server und PCs, vor Malware-Infektionen, Cyberangriffen und anderen Bedrohungen sch¨¹tzt.
- Firewalls, wobei es sich um Netzsicherheitssysteme handelt, die den ein- und ausgehenden Netzwerkverkehr auf Basis vorgegebener Sicherheitsregeln ¨¹berwachen und kontrollieren.
- Systeme zum Erkennen von Angriffen (IDS, Intrusion Detection System) und zum Verhindern von Angriffen (IPS, Intrusion Prevention System), d.?h. Netzsicherheitstools, die Netzwerke kontinuierlich auf b?swillige Aktivit?ten ¨¹berwachen und Ma?nahmen zu deren Verhinderung ergreifen.
- SIEM-Plattformen (Security Information and Event Management, Sicherheitsinformations- und -Sicherheitsereignismanagement), die Protokolldaten, Sicherheitswarnungen und Ereignisse in einer zentralisierten Plattform zusammenfassen, um Echtzeitanalysen f¨¹r die Sicherheits¨¹berwachung und -warnung durchzuf¨¹hren.
- Externe Bedrohungsdaten-Feeds, die alle verwertbaren Bedrohungsdaten enthalten, die von Drittanbietern gesammelt werden, um die Reaktionsf?higkeit auf Cyberbedrohungen und das Bewusstsein daf¨¹r zu verbessern.
Die wichtigsten Vorteile von SOAR
SOAR-Systeme erm?glichen eine effektivere und effizientere Reaktion auf Vorf?lle ¨¹ber zwei Hauptvorteile:
- Schnellere Reaktion auf Vorf?lle: SOAR hilft Unternehmen, die mittlere Erkennungszeit (MTTD) und die mittlere Wiederherstellungszeit (MTTR) zu verk¨¹rzen, indem es die Zeit, die f¨¹r die Bewertung und Behebung von Sicherheitswarnungen ben?tigt wird, von Monaten oder Wochen auf Minuten verk¨¹rzt. SOAR erm?glicht auch die Automatisierung der Reaktion auf Vorf?lle durch Verfahren, was als Playbooks bekannt ist. Zu den aus dieser Automatisierung folgenden Aktionen geh?ren das Blockieren von IP-Adressen auf einer Firewall oder einem IDS-System, das Sperren von Benutzerkonten und das Entfernen infizierter Endger?te aus einem Netzwerk.
- Bessere Cybersicherheitsdaten: Da SOAR-Systeme Daten aus so vielen verschiedenen Quellen zusammenfassen und analysieren k?nnen, verbessern sie den Kontext f¨¹r alle Arten von Cybersicherheitsbedrohungen und reduzieren die Zahl der Fehlalarme, damit Sicherheitsteams schneller arbeiten k?nnen statt h?rter.
SOAR versus SIEM
Sowohl SOAR als auch SIEM befassen sich mit Daten rund um Sicherheitsbedrohungen und erm?glichen eine wesentlich bessere Reaktion auf Sicherheitsvorf?lle.
SIEM sammelt und korreliert jedoch Daten aus mehreren Sicherheitssystemen, um Warnungen zu generieren, w?hrend SOAR als Abhilfe- und Reaktions-Engine f¨¹r diese Warnungen fungiert.
Um einen Vergleich mit Autos zu ziehen: SIEM ist der Treibstoff f¨¹r den Motor des Autos und der Motor selbst ist SOAR, weil er diesen Treibstoff verwendet, um das Ergebnis und die Ma?nahme zu liefern und alles automatisch laufen zu lassen.
Worauf Sie bei einem SOAR-Tool achten sollten
Ein SOAR-Tool, das Sie kaufen, sollte Folgendes k?nnen:
- Daten und Warnungen aus verschiedenen Sicherheitssystemen aufnehmen und analysieren
- Workflows erstellen und automatisieren, die Unternehmen dabei helfen, Cybersicherheitsbedrohungen und -warnungen zu erkennen, zu priorisieren, zu untersuchen und darauf zu reagieren
- sich einfach mit anderen Tools integrieren lassen, um den Betrieb zu verbessern
- Analysen nach Vorf?llen durchf¨¹hren, um die Reaktionsprozesse und die Effizienz bei der Reaktion auf Vorf?lle zu verbessern
- die meisten Sicherheitsvorg?nge automatisieren, um Redundanzen auszur?umen und es Sicherheitsteams zu erm?glichen, sich auf die Aufgaben zu konzentrieren, die mehr menschliches Eingreifen erfordern
Nat¨¹rlich gibt es noch mehr Extras, die Teil eines SOAR-Systems sein k?nnen, aber betrachten Sie die obige Liste als die Must-Haves f¨¹r jedes SOAR-Tool.
SOAR-Beispiel aus der Praxis: Reaktion auf Phishing
Phishing-E-Mails stellen nicht nur f¨¹r Privatpersonen, sondern auch f¨¹r die Sicherheitsteams von Unternehmen eine gro?e Bedrohung dar, da einige von ihnen so gut gestaltet sind, dass sie zu aufsehenerregenden Datenverletzungen f¨¹hren k?nnen. Mit einem SOAR-System k?nnen Unternehmen nicht nur Phishing-Angriffe abwehren, sondern auch verhindern, dass sie in Zukunft auftreten.
Ein SOAR-Tool untersucht mutma?lich b?sartige E-Mails, indem es verschiedene Artefakte extrahiert und analysiert, darunter Header-Informationen, E-Mail-Adressen, URLs und Anh?nge. Anschlie?end wird die Bedrohung eingestuft, um festzustellen, ob es sich ¨¹berhaupt um eine Bedrohung handelt und wenn ja, wie ernst sie ist.
Wenn das SOAR-Tool feststellt, dass die E-Mail b?sartig ist, tut es Folgendes:
- Es blockiert sie und alle anderen Instanzen in anderen Postf?chern.
- Es verhindert, dass ausf¨¹hrbare Dateien, die mit der E-Mail in Verbindung stehen, ausgef¨¹hrt werden.
- Es blockiert Quell-IP-Adressen oder URLs.
- Es stellt die Workstation des betroffenen Benutzers bei Bedarf unter Quarant?ne.
Nat¨¹rlich k?nnen SOAR-Systeme nicht garantieren, dass sie jede Phishing-E-Mail abfangen und blockieren werden. Wenn eine solche E-Mail durchkommt, k?nnen die Sicherheitsteams mithilfe der Fallmanagementfunktionen untersuchen, was passiert ist und warum, und dieses Wissen nutzen, um die Erkennung von Bedrohungen durch ihre SOAR-Systeme in Zukunft zu verbessern.
SOAR: Fazit
SOAR-Systeme verk¨¹rzen die Untersuchungs- und Reaktionszeit von Stunden auf Minuten. Au?erdem reduzieren sie das Risiko f¨¹r die Organisation erheblich, da nur die hochwertigsten Bedrohungsdaten zur Optimierung der Sicherheitsabl?ufe verwendet werden. Letztendlich erm?glichen sie eine strategischere Zuweisung von menschlichen Analysten und menschlichem Wissen, sodass Unternehmen ihre internen Ressourcen maximieren und gleichzeitig externe Bedrohungen minimieren k?nnen.
![Blitz-Symbol](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/what-is-soar-hero.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3a.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")