Security Orchestration, Automation and Response (SOAR)

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Documente sus incidentes mediante sistemas de tickets o soluciones SOAR

Cada incidente de seguridad debe tener un ticket asociado para realizar un seguimiento del progreso. Puede utilizar cualquier sistema de tickets o soluciones de Security Orchestration, Automation and Response (SOAR) que incluyan los aspectos de tickets.

Recomendaciones importantes:

  1. Los tickets deben escalarse automáticamente si no se reconocen o no se cumplen los SLA.
  2. Propiedad: quien tome el ticket es responsable hasta que alguien más tome posesión del mismo. Los problemas de seguridad no deben enviarse simplemente a una bandeja de entrada para otro equipo sin asegurarse de que lo hayan recibido y de que tengan toda la información/contexto necesarios para seguir trabajando sin demoras.
  3. Documente cada acción significativa realizada en el ticket para fines de aprendizaje y análisis forense
  4. Analice los indicadores de compromiso (IoC) con problemas de seguridad anteriores y bases de datos de inteligencia de amenazas externas para identificar posibles actores y tácticas de amenazas.
  5. Cree Métricas/KPI para identificar áreas de mejora y medir el progreso a lo largo del tiempo.
  6. Use el estado del ticket para reflejar cuándo está en 1.-Detección 2.-Análisis 3.-Contención 4.-Erradicación 5.-Recuperación
  7. Analice el tiempo necesario para pasar de cada fase del proceso de respuesta a incidentes.
  8. Cree informes mensuales o trimestrales
  9. Cuando sea posible, enriquezca automáticamente los tickets agregando información de contexto sobre el activo relacionado con el incidente. Las capacidades de comprensión de GenAI pueden ayudar.

Integración con sistemas de Security Orchestration, Automation and Response (SOAR)

De un modo similar a los SIEM, en clientes con infraestructura híbrida, frecuentemente se utiliza un sistema SOAR para coordinar la respuesta automatizada ante incidentes.

Las principales soluciones de SOAR cuentan con integración con AWS Security Hub, y con AWS en general para tomar acciones.

Splunk Phantom - Integración con Security hub

SOAR Splunk Phantom

Palo alto networks: Cortex XSOAR - Integración con Security hub

SOAR Palo Alto

IBM Security Resilient