Zároveň zajišťují bezpečnostní analýzy logů pořizovaných těmito a dalšími provozními technologiemi. Hlavním cílem implementace SIEMu bývá kromě ulehčení činností IT týmu doplnění, běžné administrační činnosti o komplexní analýzy a interpretace bezpečnostních dat.
Implementace SIEM dohledu však obvykle nestačí. Na tento systém navazuje další řada procesů prevence, zjišťování, kategorizace a remediace bezpečnostních hrozeb a incidentů. Reakční tým potřebuje dokonalý přehled o stavu jak jednotlivých systémů, tak globální pohled na bezpečnost v organizaci. Takový přehled poskytuje právě platforma IBM Security SOAR Platform, dříve známá jako IBM Resilient.
Jednou z našich největších referencí platformy SOAR v je instalace u klienta z oblasti městské správy, který primárně implementoval SIEM technologii využitou ke správě rozsáhlé a distribuované infrastruktury.
Po úvodní detailní konfiguraci bezpečnostního dohledu SIEM/IBM Security QRadar jsme provedli prvotní analýzu bezpečnostních procesů (zejména reakce / zvládání bezpečnostních incidentů) a na základě jejích výsledků připravili nasazení SOAR.
Hlavními očekávanými přínosy řešení byla optimalizace a zvýšení schopností reakčního týmu reagovat rychle a efektivně na stále se zvyšující komplexitu bezpečnostních hrozeb a incidentů.
S klientem pravidelně procházíme konfiguraci a hodnotíme výkon dohledu. Klient má k dispozici náhled v reálném čase na fungování a efektivitu řešení.
Dalším logickým krokem bylo napojení SIEM a SOAR výstupů do 24/7 služby bezpečnostního dohledu NGSS SOC a reakčního teamu CSIRT.
Celé řešení pravidelně testujeme pomocí útoků simulovaných naší službou bezpečnostního testování. V tomto testování pokračujeme každého čtvrt roku, výsledky testů bezpečnosti skvěle doplňují informace o výskytu zranitelností na sledovaných i jiných systémech klienta. Nyní je informace o stavu bezpečnosti sledovaných systémů úplná.
V rámci provozu bezpečnostního dohledu nezapomínáme ani na revize stávajících a na návrhy nových opatření v systému řízení bezpečnosti informací (tedy bezpečnosti procesů a postupů v organizaci) a to zejména v oblasti analýzy rizik a zvládání bezpečnostních incidentů.
Podobným způsobem uvádíme v život SIEM systémy i u jiných našich klientů. Společným jmenovatelem a cílem je zvýšení bezpečnostního přehledu nad technologiemi a minimalizace vzniku bezpečnostních incidentů a prevence kybernetických útoků.