SOAR
Security Orchestration, Automation and Response

SOAR
Security Orchestration, Automation and Response

SOAR als SaaS (Software as a Service)

SOAR ist seit einigen Jahren DIE Antwort auf zunehmende Cyberbedrohungen und knappe Personalressourcen, wie rare Security Analysten. Der Aufbau einer SOAR-Plattform ist ein sehr aufwendiges und anspruchsvolles Unterfangen. terreActive hat eine SOAR-Plattform in Form einer SaaS-Lösung aufgebaut, die den Kunden einen raschen und sichern Zugang bietet und die gesamte SOAR-Funktionalität als Service liefert.

Nutzen

  • Maximale Verfügbarkeit, 7x24
  • Qualität durch permanentes Tuning und erprobte Prozesse
  • Entlastung der Personalressourcen
  • Reduzierung von langweiligen Routineaufgaben

Dem Kunden stehen vier Dienstleistungspakete zur Auswahl:

  • SOAR Base: Dieser Basisdienst beinhaltet den Zugang zur SOAR-Plattform von terreActive und umfasst die Ticketing-Integration und die Orchestrierung aller IT-Standardkomponenten des Kunden.

  • SOAR Packages: Diese Automatisierungspakete erlauben dem Kunden eigene Runbooks zu aktivieren und so zusätzlich von der SOAR-Plattform zu profitieren.

  • SOAR Use Case Runbooks: Dieser Service enthält die aktuellen Runbooks für die terreActive Standard Use Cases.

  • SOAR User: Hier kann der Kunde eigenen Mitarbeitenden den Zugriff auf die SOAR-Konsole freischalten. Diese Mitarbeitenden können dann beispielsweise als Auditoren den SOC-Provider überwachen oder als Analysten aktiv beim SOAR mitarbeiten.

Lösung mit Paloalto Cortex XSOAR (ehemals Demisto)

terreActive setzt auf Cortex (ehemals Demisto), einer SOAR-Plattform mit der Orchestrierung, Incident Management und interaktive Untersuchungen von Sicherheitsvorfällen kombiniert werden können. Die Orchestrierungs-Engine automatisiert Aufgaben von Sicherheitsprodukten und führt Arbeiten von Analysten und Workflows aus.

Diese SOAR-Lösung importiert aggregierte Warnmeldungen und Gefahrenindikatoren aus diversen Quellen wie SIEM, Netzwerktools, Security Feeds oder E-Mails. Anschliessend nutzt es automatisierbare, prozessgestützte Ablaufskripte (Runbooks), um die Alarme anzureichern und auf Vorfälle zu reagieren. Die Runbooks können über mehrere Technologien, Teams oder externe Benutzer koordiniert werden, um alle Daten für alle sichtbar zu machen und gemeinsam zu reagieren.