Dans le domaine de la cybers¨¦curit¨¦, SOAR signifie Orchestration, automatisation et r¨¦ponse aux incidents (Security Orchestration, Automation, and Response en anglais). Le SOAR inclut tous les logiciels ou outils permettant aux soci¨¦t¨¦s de collecter et d¡¯analyser des donn¨¦es de cybers¨¦curit¨¦.
Qu¡¯est-ce que le SOAR et comment fonctionne-t-il??
Les syst¨¨mes SOAR permettent aux organisations d¡¯exploiter toutes leurs donn¨¦es de cybers¨¦curit¨¦ ¨¤ l¡¯aide de diff¨¦rents outils et fonctionnalit¨¦s pour am¨¦liorer la r¨¦ponse aux incidents.
Les principaux composants d¡¯un syst¨¨me SOAR sont?:
³¢¡¯´Ç°ù³¦³ó±ð²õ³Ù°ù²¹³Ù¾±´Ç²Ô
³¢¡¯´Ç°ù³¦³ó±ð²õ³Ù°ù²¹³Ù¾±´Ç²Ô de la s¨¦curit¨¦ acc¨¦l¨¨re et am¨¦liore la r¨¦ponse aux incidents par l¡¯int¨¦gration et l¡¯analyse des donn¨¦es issues de diff¨¦rentes technologies et diff¨¦rents outils de s¨¦curit¨¦. ³¢¡¯´Ç°ù³¦³ó±ð²õ³Ù°ù²¹³Ù¾±´Ç²Ô consiste ¨¦galement ¨¤ coordonner diff¨¦rentes technologies de cybers¨¦curit¨¦ pour aider les organisations ¨¤ faire face ¨¤ des incidents de cybers¨¦curit¨¦ complexes. Un outil SOAR peut, par exemple, rassembler des donn¨¦es de s¨¦curit¨¦ r¨¦seau en utilisant, pour ¨¦tablir ses r¨¨gles de firewall, les donn¨¦es provenant des outils de surveillance du r¨¦seau.
³¢¡¯²¹³Ü³Ù´Ç³¾²¹³Ù¾±²õ²¹³Ù¾±´Ç²Ô
L¡¯une des principales fonctions de tout outil SOAR est l¡¯automatisation, qui ¨¦vite de passer du temps ¨¤ effectuer manuellement les t?ches de d¨¦tection et de r¨¦solution des incidents. Les syst¨¨mes SOAR peuvent, par exemple, trier automatiquement certains types d¡¯¨¦v¨¦nements et permettre aux ¨¦quipes de s¨¦curit¨¦ de d¨¦finir des proc¨¦dures normalis¨¦es et automatis¨¦es (flux de prise de d¨¦cision, v¨¦rification de l¡¯¨¦tat, application et endiguement, audit).
La r¨¦ponse
Les plateformes SOAR collectent des donn¨¦es d¡¯autres outils de s¨¦curit¨¦, notamment les syst¨¨mes SIEM (syst¨¨mes de gestion des informations et des ¨¦v¨¦nements de s¨¦curit¨¦) et les flux de renseignement sur les menaces. Elles classent les incidents de s¨¦curit¨¦ par ordre de priorit¨¦ et envoient des informations essentielles sur ces incidents au personnel de s¨¦curit¨¦.
La gestion des cas
La gestion des cas est un ¨¦l¨¦ment essentiel de toute plateforme SOAR. Les fonctionnalit¨¦s de gestion des cas permettent aux analystes de s¨¦curit¨¦ d¡¯acc¨¦der ¨¤ chaque cas enregistr¨¦, d¡¯analyser dynamiquement et de travailler sur les donn¨¦es relatives ¨¤ un incident donn¨¦, et d¡¯utiliser cette analyse pour am¨¦liorer et reproduire les processus de r¨¦ponse de s¨¦curit¨¦.
Le tableau de bord
Le tableau de bord d¡¯un outil SOAR donne un aper?u de tout ce qui se passe dans les quatre outils pr¨¦c¨¦dents, autrement dit toutes les donn¨¦es et toutes les activit¨¦s li¨¦es ¨¤ la s¨¦curit¨¦, notamment les ¨¦v¨¦nements notables et leur s¨¦v¨¦rit¨¦, les guides op¨¦rationnels, les liens avec d¡¯autres outils de s¨¦curit¨¦, les charges de travail ou m¨ºme une synth¨¨se du retour sur investissement des activit¨¦s automatis¨¦es. En g¨¦n¨¦ral, il est possible d¡¯appliquer des filtres au tableau de bord SOAR?: intervalle de temps, source de donn¨¦es ou utilisateur. Les widgets peuvent ¨ºtre activ¨¦s ou d¨¦sactiv¨¦s ou r¨¦organis¨¦s selon vos choix. Bref, le tableau de bord est la plateforme centrale de surveillance de toutes les activit¨¦s de votre syst¨¨me SOAR et de leur efficacit¨¦.
Comment la solution SOAR identifie-t-elle les menaces??
Les syst¨¨mes SOAR naviguent et collectent les donn¨¦es de diff¨¦rentes sources, puis, en associant op¨¦rateurs humains et apprentissage machine, ils analysent ces donn¨¦es pour d¨¦tecter des menaces potentielles et prioriser les plans et les actions de r¨¦ponse aux incidents. En g¨¦n¨¦ral, les soci¨¦t¨¦s automatisent le syst¨¨me SOAR pour que la prise en charge de la cybers¨¦curit¨¦ soit la plus efficace possible.
Sources de donn¨¦es SOAR
Les syst¨¨mes SOAR extraient et analysent des donn¨¦es de diff¨¦rentes sources, notamment??:
- Les scanners de vuln¨¦rabilit¨¦, des programmes informatiques con?us pour ¨¦valuer les failles de s¨¦curit¨¦ des ordinateurs, r¨¦seaux ou applications.
- Les logiciels de protection des points de terminaison, qui prot¨¨gent les points de terminaison d¡¯une organisation, notamment les serveurs et les PC, contre les infections par des logiciels malveillants, les cyberattaques et d¡¯autres menaces.
- Les firewalls, qui sont des syst¨¨mes de s¨¦curit¨¦ r¨¦seau qui surveillent et contr?lent le trafic r¨¦seau entrant et sortant en s¡¯appuyant sur des r¨¨gles de s¨¦curit¨¦ pr¨¦d¨¦finies.
- Les syst¨¨mes de d¨¦tection et de pr¨¦vention des intrusions, des outils de s¨¦curit¨¦ du r¨¦seau qui surveillent les r¨¦seaux en continu pour d¨¦tecter et contrer les activit¨¦s malveillantes.
- Les plateformes de gestion des informations et des ¨¦v¨¦nements de s¨¦curit¨¦ (SIEM), qui rassemblent les donn¨¦es des journaux, les alertes de s¨¦curit¨¦ et les ¨¦v¨¦nements dans une plateforme centrale o¨´ seront r¨¦alis¨¦es des analyses en temps r¨¦el permettant de surveiller la s¨¦curit¨¦ et de lancer des alertes.
- Des flux externes de renseignements sur les menaces, qui incluent toutes les donn¨¦es exploitables sur les menaces obtenues aupr¨¨s de fournisseurs tiers et permettent d¡¯am¨¦liorer les r¨¦ponses et la connaissance des cybermenaces.
Principaux avantages d¡¯une plateforme SOAR
Les syst¨¨mes SOAR permettent de r¨¦pondre aux incidents de mani¨¨re plus efficace et performante, principalement gr?ce ¨¤ deux atouts?:
- R¨¦ponse aux incidents plus rapide?: le syst¨¨me SOAR aide ¨¤ r¨¦duire le temps moyen de d¨¦tection (MTTD) et le temps moyen de r¨¦paration (MTTR) en ramenant de plusieurs jours ou plusieurs semaines ¨¤ quelques minutes le d¨¦lai n¨¦cessaire pour qualifier les alertes de s¨¦curit¨¦ et r¨¦soudre le probl¨¨me. Le syst¨¨me SOAR permet ¨¦galement d¡¯automatiser la r¨¦ponse aux incidents via des proc¨¦dures r¨¦unies dans un ??guide op¨¦rationnel??. Les actions automatis¨¦es sont, entre autres, le blocage d¡¯adresses IP au niveau d¡¯un firewall ou d¡¯un syst¨¨me IDS, la suspension de comptes utilisateur et la mise en quarantaine ¨¤ l¡¯¨¦cart du r¨¦seau des points de terminaison infect¨¦s.
- Am¨¦lioration des renseignements sur la cybers¨¦curit¨¦?: comme les syst¨¨mes SOAR peuvent agr¨¦ger et analyser des donn¨¦es de nombreuses sources diff¨¦rentes, ils permettent de mieux conna?tre le contexte de tous les types de menaces pour la cybers¨¦curit¨¦ et de r¨¦duire les fausses alertes. Les ¨¦quipes de s¨¦curit¨¦ peuvent ainsi travailler plus vite sans augmenter leur charge de travail.
SOAR et SIEM
Les syst¨¨mes SOAR comme les syst¨¨mes SIEM s¡¯appuient sur les donn¨¦es relatives aux menaces pour am¨¦liorer de fa?on significative la r¨¦ponse aux incidents de s¨¦curit¨¦.
Toutefois, un syst¨¨me SIEM effectue l¡¯agr¨¦gation et la corr¨¦lation de donn¨¦es provenant de nombreux syst¨¨mes de s¨¦curit¨¦ pour g¨¦n¨¦rer des alertes, tandis que le syst¨¨me SOAR fait office de moteur de r¨¦solution et de r¨¦ponse pour ces alertes.
Si l¡¯on fait l¡¯analogie avec un v¨¦hicule, le SIEM est le carburant qui alimente le moteur du v¨¦hicule, et ce moteur est le SOAR, qui utilise le carburant pour g¨¦n¨¦rer un r¨¦sultat et effectuer une action, en automatisant le tout.
Que rechercher dans un outil SOAR
Quel que soit l¡¯outil SOAR que vous choisissez, il doit pouvoir?:
- Ing¨¦rer et analyser des donn¨¦es et des alertes provenant de diff¨¦rents syst¨¨mes de s¨¦curit¨¦.
- ?laborer et automatiser des flux m¨¦tier pour aider les soci¨¦t¨¦s ¨¤ identifier les menaces de cybers¨¦curit¨¦ et les alertes, les prioriser, les examiner et y r¨¦pondre.
- S¡¯int¨¦grer ¨¤ d¡¯autres outils pour am¨¦liorer les op¨¦rations.
- R¨¦aliser des analyses apr¨¨s incident pour am¨¦liorer les processus de r¨¦ponse aux incidents et leur efficacit¨¦.
- Automatiser la plupart des op¨¦rations de s¨¦curit¨¦ pour ¨¦liminer les redondances et permettre aux ¨¦quipes de s¨¦curit¨¦ de se concentrer sur les t?ches n¨¦cessitant une intervention humaine plus importante.
Il s¡¯agit l¨¤ des actions que doit absolument permettre un syst¨¨me SOAR, mais d¡¯autres actions peuvent ¨¦videmment s¡¯y ajouter.
Exemple concret de syst¨¨me SOAR?: R¨¦ponse ¨¤ l¡¯hame?onnage
Les e-mails d¡¯hame?onnage repr¨¦sentent une menace majeure pour les individus, mais aussi pour les ¨¦quipes de s¨¦curit¨¦ des entreprises. En effet, ils sont souvent suffisamment bien con?us pour provoquer des violations de donn¨¦es importantes. Les soci¨¦t¨¦s dot¨¦es d¡¯un syst¨¨me SOAR peuvent non seulement contrer les tentatives d¡¯hame?onnage, mais ¨¦galement emp¨ºcher de nouvelles tentatives.
Pour inspecter les e-mails suspects, l¡¯outil SOAR extrait et analyse diff¨¦rents ¨¦l¨¦ments comme l¡¯en-t¨ºte, les adresses mail, les URL et les pi¨¨ces jointes. S¡¯il d¨¦termine qu¡¯il s¡¯agit bien d¡¯une menace, il la classe en fonction de sa gravit¨¦.
Si le syst¨¨me SOAR juge que l¡¯e-mail est malveillant?:
- Il le bloque et bloque toutes les autres instances de ce message dans les autres bo?tes mail.
- Il emp¨ºche l¡¯ex¨¦cution des fichiers ex¨¦cutables associ¨¦s ¨¤ l¡¯e-mail.
- Il bloque les adresses IP ou les URL sources.
- Le cas ¨¦ch¨¦ant, il isole le poste de travail de l¡¯utilisateur concern¨¦.
Bien entendu, aucun syst¨¨me SOAR ne peut pr¨¦tendre identifier et bloquer tous les e-mails d¡¯hame?onnage. Si l¡¯un de ces e-mails passe ¨¤ travers les mailles, les fonctionnalit¨¦s de gestion des cas permettent aux ¨¦quipes de s¨¦curit¨¦ de rechercher ce qui s¡¯est pass¨¦ et pourquoi et, ¨¤ partir de l¨¤, d¡¯am¨¦liorer progressivement les fonctions de d¨¦tection des menaces de leurs syst¨¨me SOAR.
Syst¨¨me SOAR?: conclusion
Les syst¨¨mes SOAR r¨¦duisent de plusieurs heures ¨¤ quelques minutes les d¨¦lais d¡¯investigation et de r¨¦ponse. Ils permettent ¨¦galement de diminuer nettement les risques pour l¡¯organisation, en exploitant uniquement des donn¨¦es de qualit¨¦ sur les menaces afin de rationaliser les op¨¦rations de s¨¦curit¨¦. Enfin, ils permettent une allocation plus strat¨¦gique des ressources humaines (analystes et renseignements humains). Les entreprises peuvent ainsi optimiser leurs ressources internes et r¨¦duire au maximum les menaces externes.
![Ic?ne d¡¯¨¦clair](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/what-is-soar-hero.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")