Skip to Content

O que é SOAR?

Em cibersegurança, SOAR significa orquestração, automação e resposta de segurança. Ele inclui qualquer software ou ferramenta que permita às empresas coletar e analisar dados relacionados à cibersegurança.

O que é SOAR e como funciona?

Os sistemas SOAR permitem que as organizações usem várias ferramentas e funcionalidades para aproveitar todos os seus dados relacionados à cibersegurança para melhorar a resposta a incidentes.

Os principais componentes de um sistema SOAR são:

Orquestração

A orquestração de segurança acelera e melhora a resposta a incidentes integrando e analisando dados de várias tecnologias e ferramentas de segurança. A orquestração também envolve a coordenação de diferentes tecnologias de cibersegurança para ajudar as organizações a lidar com incidentes complexos de cibersegurança. Uma ferramenta SOAR pode, por exemplo, comparar dados operacionais de TI de segurança de rede usando dados de ferramentas de monitoramento de rede como referência para regras de firewall.

Automação

Uma das principais funções de qualquer ferramenta SOAR é a automação, que elimina a necessidade muito demorada de detectar e responder manualmente a incidentes de segurança. Os sistemas SOAR podem, por exemplo, fazer triagem automática de determinados tipos de eventos e permitir que as equipes de segurança definam procedimentos padronizados e automatizados, como fluxos de trabalho de tomada de decisão, verificações de integridade, aplicação e contenção e auditoria.

Resposta

As plataformas SOAR coletam dados de outras ferramentas de segurança, como sistemas de gerenciamento de eventos e informações de segurança (SIEM, Security Information and Event Management) e feeds de inteligência contra ameaças. Eles priorizam eventos de segurança e enviam informações importantes sobre o incidente de segurança para a equipe de segurança.

Gerenciamento de casos

O gerenciamento de casos é um componente fundamental de qualquer plataforma SOAR. Os recursos de gerenciamento de casos dão aos analistas de segurança acesso a registros de casos individuais para que possam analisar e interagir dinamicamente com quaisquer dados relacionados a qualquer incidente e usar essa análise para melhorar e iterar seus processos de resposta de segurança.

Painel

O painel de uma ferramenta SOAR fornece uma visão geral de tudo o que está acontecendo em relação aos números 1, 2, 3, 4 e acima, ou seja, todos os dados e atividades relacionados à segurança, incluindo eventos notáveis e sua gravidade, manuais, conexões com outras ferramentas de segurança, cargas de trabalho e até mesmo um resumo do retorno do investimento de atividades automatizadas. Normalmente, você pode filtrar um painel SOAR por período, fonte de dados ou usuário. Os widgets podem ser ativados, desativados ou rearranjados de acordo com suas especificações. Em resumo, é seu hub central para monitorar tudo o que seu sistema SOAR está fazendo e como está fazendo.

Como uma solução SOAR identifica ameaças?

Os sistemas SOAR navegam e coletam dados de várias fontes e, em seguida, usam uma combinação de aprendizado humano e de máquina para analisar esses dados e detectar ameaças potenciais e priorizar planos e ações de resposta a incidentes. Normalmente, as empresas automatizam o sistema SOAR para que ele possa dar suporte à cibersegurança com mais eficiência.

Fontes de dados SOAR

Os sistemas SOAR extraem e analisam dados de várias fontes diferentes, incluindo:

  • Scanners de vulnerabilidade, que são programas de computador desenvolvidos para avaliar os pontos fracos de segurança em computadores, redes ou aplicativos.
  • Software de proteção de endpoints: Os produtos dessa categoria protegem os endpoints de uma organização, como servidores e computadores pessoais, contra infecções por malware, ataques cibernéticos e outras ameaças.
  • Firewalls , que são sistemas de segurança de rede que monitoram e controlam o tráfego de rede de entrada e saída com base em regras de segurança predeterminadas.
  • Sistemas de detecção e prevenção de invasões, que são ferramentas de segurança de rede que monitoram continuamente as redes em busca de atividades maliciosas e tomam medidas para evitá-las.
  • Plataformas de gerenciamento de eventos e informações de segurança (SIEM, Security Information and Event Management), que agregam dados de log, alertas de segurança e eventos em uma plataforma centralizada para realizar análise em tempo real para monitoramento e alertas de segurança.
  • Feeds externos de inteligência contra ameaças, que incluem quaisquer dados de ameaças acionáveis coletados de fornecedores terceirizados para melhorar a resposta e a conscientização sobre ameaças cibernéticas.

Principais benefícios do SOAR

Os sistemas SOAR permitem uma resposta a incidentes mais eficaz e eficiente por meio de dois benefícios principais:

  • Resposta mais rápida a incidentes: O SOAR ajuda as empresas a reduzir o tempo médio de detecção (MTTD, mean time to detect) e o tempo médio de restauração (MTTR, mean time to restore), reduzindo o tempo necessário para que os alertas de segurança sejam qualificados e corrigidos de meses ou semanas para minutos. O SOAR também permite a automação da resposta a incidentes por meio de procedimentos conhecidos como manuais. As ações dessa automação incluem bloquear endereços IP em um firewall ou sistema IDS, suspender contas de usuário e colocar em quarentena pontos de extremidade infectados de uma rede.
  • Melhor inteligência de cibersegurança: Como os sistemas SOAR podem agregar e analisar dados de tantas fontes diferentes, eles melhoram o contexto de todos os tipos de ameaças à cibersegurança e reduzem os alarmes falsos para ajudar as equipes de segurança a trabalhar mais rápido do que com mais esforço.

SOAR vs. SIEM

Tanto o SOAR quanto o SIEM lidam com dados sobre ameaças à segurança e permitem respostas muito melhores a incidentes de segurança.

No entanto, o SIEM agrega e correlaciona dados de vários sistemas de segurança para gerar alertas, enquanto o SOAR atua como mecanismo de correção e resposta a esses alertas.

Para usar uma analogia de carro, o SIEM é o combustível para o motor do carro e o motor em si é SOAR porque usa o combustível para fornecer o resultado e a ação e para fazer tudo funcionar automaticamente.

O que procurar em uma ferramenta SOAR

Seja qual for a ferramenta SOAR que você obtém, ela deve ser capaz de:

  • Ingerir e analisar dados e alertas de vários sistemas de segurança.
  • Crie e automatize fluxos de trabalho que ajudam as empresas a identificar, priorizar, investigar e responder a ameaças e alertas de cibersegurança.
  • Integre-se facilmente a outras ferramentas para melhorar as operações.
  • Realize análises pós-incidente para melhorar os processos de resposta e a eficiência da resposta a incidentes.
  • Automatize a maioria das operações de segurança para eliminar redundâncias e permitir que as equipes de segurança se concentrem nas tarefas que exigem mais participação humana.

É claro que há mais sinos e apitos que podem fazer parte de um sistema SOAR, mas considere a lista acima dos itens essenciais para qualquer ferramenta SOAR.

Exemplo real de SOAR: Resposta a phishing

Os e-mails de phishing são uma grande ameaça não apenas para as pessoas, mas também para as equipes de segurança corporativa, pois alguns deles são elaborados bem o suficiente para realizar violações de dados de alto nível. Com um sistema SOAR implantado, as empresas não só podem se defender dos ataques de phishing, mas também impedir que eles aconteçam no futuro.

Uma ferramenta SOAR examina e-mails maliciosos suspeitos extraindo e analisando vários artefatos, incluindo informações de cabeçalho, endereços de e-mail, URLs e anexos. Em seguida, ele faz uma triagem da ameaça para determinar se ela é uma ameaça e, em caso afirmativo, o quanto ela é grave.

Se a ferramenta SOAR determinar que o e-mail é malicioso, ela:

  • Bloqueie-o e quaisquer outras instâncias em outras caixas de correio.
  • Evite que executáveis relacionados ao e-mail sejam executados.
  • Bloqueie endereços IP ou URLs de origem.
  • Coloque a estação de trabalho do usuário afetado em quarentena, se necessário.

É claro que os sistemas SOAR não podem garantir que capturarão e bloquearão todos os e-mails de phishing. Se alguém passar por isso, os recursos de gerenciamento de casos permitem que as equipes de segurança investiguem o que aconteceu e por quê, além de usar esse conhecimento para melhorar a detecção de ameaças dos sistemas SOAR daqui para frente.

SOAR: O resultado final

Os sistemas SOAR reduzem o tempo de investigação e resposta de horas para minutos. Eles também reduzem muito o risco organizacional usando apenas os dados de ameaças da mais alta qualidade para simplificar as operações de segurança. Em última análise, elas permitem uma alocação mais estratégica de analistas e inteligência humana, permitindo que as empresas maximizem seus recursos internos enquanto minimizam ameaças externas.

12/2024
Making the Future More Efficient and Affordable
To address a disk space shortage,Reynaers invested in Pure Storage FlashArray and an ActiveCluster storage system.
estudos de caso de cliente
4 páginas
ENTRE EM CONTATO
Dúvidas ou comentários?

Tem dúvidas ou comentários sobre produtos ou certificações da Pure?  Estamos aqui para ajudar.

Agende uma demonstração

Agende uma demonstração ao vivo e veja você mesmo como a Pure pode ajudar a transformar seus dados em resultados poderosos. 

Telefone: 55-11-2844-8366

Imprensa: pr@purestorage.com

 

Sede da Pure Storage

Av. Juscelino Kubitschek, 2041

Torre B, 5º andar - Vila Olímpia

São Paulo, SP

04543-011 Brasil

info@purestorage.com

FECHAR
Seu navegador não é mais compatível.

Navegadores antigos normalmente representam riscos de segurança. Para oferecer a melhor experiência possível ao usar nosso site, atualize para qualquer um destes navegadores mais atualizados.