ما هو ال SOAR ؟

Security
ما هو SOAR؟ و كيف يستطيع ان يوفر تشغيل ألي للأمان؟
Mahmoud Ezzat
June 10, 2023, 10:30 p.m.
mahmoud_atics
ما هو ال SOAR ؟

ما هو ال SOAR ؟

التزامن الأمن والتشغيل الالي للأمان والأستجابـه الأمنيه (Secuirty Orchestration, Automation and Response)، أو SOAR، عبارة عن مجموعة من البرامج المتوافقة التي تمكّن المؤسسة من جمع البيانات حول التهديدات الأمنية والاستجابة للأحداث الأمنية بمساعدة بشرية قليلة أو بدون مساعدة. الهدف من استخدام منصة SOAR هو تحسين كفاءة عمليات الأمن المادي والرقمي, يسمح هذا المؤسسات ليس فقط بالاستجابة السريعة لهجمات الأمن السيبراني ولكن أيضًا مراقبة وفهم ومنع الحوادث المستقبلية ، وبالتالي تحسين وضعهم الأمني ​​العام.

تحتوي منصات SOAR على ثلاثة مكونات رئيسية: التزامن الامن ، والتشغيل الالي والاستجابة الأمنية.

التزامن الامن (Security Orchestration):-

يربط التزامن الأمان الأدوات الداخلية والخارجية المتباينة مثل (SIEM,EDR,NDR,FIREWALL,etc) ويدمجها عبر واجهات برمجيه او مخصصة. قد تشتمل الأنظمة المتصلة على ماسـحات للثغرات الأمنية، ومنتجات حماية الاجهزه مثل برامج الفيروسات وغيرها، وتحليلات سلوك المستخدم والكيان، وجدران الحماية ، وأنظمة كشف التسلل ومنع التطفل ( IDSes / IPSes ) ، وأنظمة معلومات الأمان وإدارة الأحداث ( SIEM ).على سبيل المثال ، قد يحتاج محلل أمني يحقق في رسالة بريد إلكتروني للتصيد الاحتيالي إلى بوابة بريد إلكتروني آمنة ومنصة استخباراتية للتهديدات وبرامج مكافحة فيروسات لتحديد التهديد وفهمه وحلّه. غالبًا ما تأتي هذه الأدوات من بائعين مختلفين وقد لا يتم دمجها بسهولة ، لذلك يجب على المحللين التنقل يدويًا بين الأدوات أثناء عملها.

كلما تم جمع المزيد من البيانات من خلال هذه المصادر (SIEM, EDR, NDR, FIREWALL,etc) ، كانت فرصة اكتشاف التهديدات أفضل، إلى جانب تجميع سياق أكثر اكتمالاً وتحسين التعاون. ومع ذلك، سيكون هناك المزيد من التنبيهات والمزيد من البيانات لاستيعابها وتحليلها ولكن عندها يقوم التزامن الأمان بجمع البيانات ودمجها لبدء وظائف الاستجابة ، يتخذ التشغيل الالي للأمان الإجراءات.

ألتشغيل الالي للأمان:-

يعمل التشغيل الألي للأمان ، الذي يتم تغذيته بالبيانات والتنبيهات التي تم جمعها من التزامن الأمن ، على استيعاب البيانات وتحليلها وإنشاء عمليات متكررة ومميكنه لتحل محل العمليات اليدوية. المهام التي كان يؤديها المحللون سابقًا ، مثل فحص الثغرات الأمنية وتحليل السجل(Logs) والتحقق من التذاكر وإمكانيات التدقيق ، يمكن توحيدها وتنفيذها تلقائيًا بواسطة منصات SOAR. باستخدام الذكاء الاصطناعي (AI) والتعلم الآلي لفك وتكييف الرؤى من المحللين ، يمكن ل SOAR تحديد أولويات التهديدات وتقديم التوصيات وميكنه الاستجابات المستقبلية. بالتناوب ، يمكن للتشغيل الالي للامان من رفع مستوى التهديدات إذا كان التدخل البشري مطلوبًا.

تعد كتيبات التشغيل (Play Books) ضرورية لنجاح SOAR. كتيبات اللعب التي تم إنشاؤها مسبقًا أو المخصصة هي إجراءات آلية محددة مسبقًا. يمكن توصيل كتيبات لعب (Play Books) المتعددة لإكمال الإجراءات المعقدة. على سبيل المثال ، إذا تم العثور على عنوان URL ضار في بريد إلكتروني للموظف وتم التعرف عليه أثناء الفحص ، فيمكن إنشاء دليل التشغيل الذي يحظر البريد الإلكتروني ، وينبه الموظف إلى محاولة التصيد المحتملة ويحظر عنوان IP الخاص بالمرسل. يمكن أن تؤدي أدوات SOAR أيضًا إلى إجراءات متابعة التحقيق من قبل فرق الأمن ، إذا لزم الأمر. فيما يتعلق بمثال التصيد الاحتيالي ، يمكن أن تشمل المتابعة البحث في صناديق البريد الواردة للموظفين الآخرين عن رسائل بريد إلكتروني مماثلة وحظرعناوين IP الخاصة بهم ، إذا وجدت.

الأستجابة ألأمنية:-

تقدم الاستجابة الأمنية وجهة نظر واحدة للمحللين في التخطيط والإدارة والمراقبة والإبلاغ عن الإجراءات التي يتم تنفيذها بعد اكتشاف تهديد. يتيح هذا العرض الفردي إمكانية التعاون ومشاركة معلومات التهديدات عبر فرق الأمن والشبكات والأنظمة. ويشمل أيضًا أنشطة الاستجابة بعد الحادث ، مثل إدارة الحالة وإعداد التقارير.

 يجمع ال SOAR المقاييس والتنبيهات من الخلاصات الخارجية وأدوات الأمان المتكاملة (Security Orchestration) في لوحة معلومات مركزية. يمكن للمحللين ربط البيانات من مصادر مختلفة ، وتصفية الإيجابات الخاطئة ، وتحديد أولويات التنبيهات ، وتحديد التهديدات المحددة التي يتعاملون معها. بعد ذلك ، يمكن للمحللين الرد عن طريق تشغيل كتيبات اللعبة (Play Book) المناسبة.

يمكن لمراكز العمليات الأمنية أيضًا استخدام أدوات SOAR لعمليات تدقيق ما بعد الحادث وعمليات أمنية أكثر استباقية. يمكن أن تساعد لوحات معلومات SOAR فرق الأمان على فهم كيفية اختراق تهديد معين للشبكة وكيفية منع التهديدات المماثلة في المستقبل. وبالمثل ، يمكن لفرق الأمن استخدام بيانات SOAR لتحديد التهديدات المستمرة التي لم يتم ملاحظتها وتركيز جهود البحث عن التهديدات في الأماكن الصحيحة.

 

 

فوائد SOAR

توفر منصات SOAR العديد من الفوائد لفرق عمليات أمان المؤسسات ( SecOps ) ، بما في ذلك ما يلي:

  • أوقات أسرع لاكتشاف الحوادث ورد الفعل. يتزايد حجم وسرعة التهديدات والأحداث الأمنية باستمرار . يمكن لسياق بيانات SOAR المحسّن ، جنبًا إلى جنب مع التشغل الالي للامان ، تقليل متوسط ​​الوقت للكشف ، أو MTTD ، وتسريع متوسط ​​وقت الاستجابة ، أو MTTR. من خلال اكتشاف التهديدات والاستجابة لها بسرعة أكبر - من خلال كتيبات اللعب الآلية ، عند توفرها - يمكن تقليل آثارها.

  • سياق تهديد بتحليل أفضل. من خلال دمج المزيد من البيانات من مجموعة واسعة من الأدوات والأنظمة ، يمكن لمنصات SOAR تقديم المزيد من السياق والتحليل الأفضل ومعلومات التهديد المحدثة.

  • إدارة مبسطة. تقوم منصات SOAR بدمج لوحات معلومات أنظمة الأمان المختلفة في واجهة واحدة. وهذا يساعد SecOps والفرق الأخرى من خلال مركزية معالجة المعلومات والبيانات وتبسيط الإدارة وتوفير الوقت.

  • قابلية التوسع. يمكن أن يؤدي توسيع نطاق العمليات اليدوية التي تستغرق وقتًا طويلاً إلى استنزاف الموظفين بل ومن المستحيل مواكبة ذلك مع زيادة حجم الأحداث الأمنية. يمكن أن تلبي عمليات تنسيق SOAR والتشغيل الالي للامان  وسير العمل متطلبات قابلية التوسع بسهولة أكبر.

  • عزز إنتاجية المحلل.  يعمل التشغيل الالي للامان من خلال اداره التهديدات ذات المستوى المنخفض على زيادة مسؤوليات فرق عمليات الأمن ومركز العمليات الأمنية ، مما يمكّنهم من تحديد أولويات المهام بشكل أكثر فعالية والاستجابة للتهديدات التي تتطلب تدخلًا بشريًا بشكل أسرع.

  • عمليات مبسطة. تمكّن الإجراءات وكتيبات التشغيل الموحدة التي تعمل على التشغيل الالي للمهام ذات المستوى الأدنى وتمكن  فرق SecOps من الاستجابة لمزيد من التهديدات في نفس الفترة الزمنية. تضمن تدفقات العمل المميكنه هذه أيضًا تطبيق نفس جهود الإصلاح الموحدة على مستوى المؤسسة ، عبر جميع الأنظمة.

  • الإبلاغ والتعاون. يعمل إعداد التقارير والتحليل الخاص بمنصات SOAR على دمج المعلومات بسرعة ، مما يتيح عمليات إدارة بيانات أفضل وجهود استجابة أفضل لتحديث سياسات وبرامج الأمان الحالية من أجل أمان أكثر فعالية. يمكن للوحة القيادة المركزية لمنصة SOAR أيضًا تحسين مشاركة المعلومات عبر فرق المؤسسة المتباينة ، مما يعزز التواصل والتعاون.

  • اانخفاض لتكاليف. في كثير من الحالات ، يمكن أن تؤدي زيادة محللي الأمن باستخدام أدوات SOAR إلى خفض التكاليف ، بدلاً من إجراء جميع عمليات تحليل التهديدات واكتشافها والاستجابة لها يدويًا.

ما هي تحديات SOAR؟

SOAR ليست تقنية رصاصة فضية ، ولا هي نظام مستقل. يجب أن تكون منصات SOAR جزءًا من استراتيجية أمنية متعمقة للدفاع ، خاصةً لأنها تتطلب مدخلات من أنظمة الأمان الأخرى لاكتشاف التهديدات بنجاح.

SOAR هي تقنية تكميلية وليست بديلاً لأدوات الأمان الأخرى. لا تعد منصات SOAR بديلاً للمحللين البشريين ، ولكنها بدلاً من ذلك يمكنها زيادة مهاراتهم وسير العمل من أجل اكتشاف الحوادث والاستجابة لها بشكل أكثر فعالية.

تشمل العيوب المحتملة الأخرى لـ SOAR ما يلي:

  • عدم معالجة استراتيجية أمنية أوسع.

  • توقعات مختلطة.

  • تعقيدات التكامل.

  • تعقيد النشر والإدارة.

  • عدم وجود مقاييس أو محدودية.

قدرات SOAR وحالات الاستخدام:-

مصطلح SOAR ، الذي صاغته شركة Gartner في عام 2015 ، كان يشير في البداية إلى العمليات الأمنية والتحليلات وإعداد التقارير. تم تحديثه إلى شكله الحالي في عام 2017 ، حيث حددت شركة Gartner إمكانات SOAR الرئيسية الثلاث على النحو التالي:

  • تقنيات إدارة التهديدات والضعف التي تدعم معالجة الثغرات الأمنية ، مما يوفر سير العمل الرسمي ، وإعداد التقارير وقدرات التعاون.

  • تقنيات الاستجابة للحوادث الأمنية التي تدعم كيفية تخطيط المنظمة وإدارتها وتتبعها وتنسيقها للاستجابة لحادث أمني.

  • تقنيات التشغيل الالي لعمليات الأمان التي تدعم الميكنه وتنسيق مهام سير العمل والعمليات وتنفيذ السياسة وإعداد التقارير.

وسعت Gartner التعريف بشكل أكبر ، حيث صقلت التقارب التكنولوجي لـ SOAR إلى ما يلي:

  • منصات الاستجابة للحوادث الأمنية ، والتي تشمل قدرات مثل إدارة الثغرات الأمنية ، وإدارة الحالات ، وإدارة الحوادث ، وسير العمل ، وقاعدة المعرفة بالحوادث ، وقدرات التدقيق والتسجيل ، والإبلاغ والمزيد.

  • تنسيق الأمان والتشغيل الالي له ، والتي تشمل عمليات الدمج وأميكنة سير العمل وكتيبات التشغيل وإدارة قواعد اللعبة وجمع البيانات وتحليل السجل وإدارة دورة حياة الحساب.

  • منصات الاستخبارات الخاصة بالتهديدات ، والتي تشمل تجميع معلومات التهديد وتحليلها وتوزيعها ؛ إثراء سياق التنبيه ؛ وتصور ذكاء التهديد.

 SOAR

SOAR لعام 2022 من Gartner قائمة بالموردين التمثيليين ومنتجاتهم ، بما في ذلك ما يلي:

  • Anomali ThreatStream

  • Cyware Virtual Cyber ​​Fusion center

  • D3 Security NextGen SOAR

  • Divo SOAR (LogicHub سابقًا)

  • EclecticIQ Platform

  • Fortinet FortiSOAR

  • Google Cloud Chronicle Security Operations (formerly Siemplify)

  • Honeycomb SOCAutomation

  • IBM Security QRadar SOAR

  • Logsign SOAR

  • NSFOCUS Intelligent Security Operation Platform

  • OpenText ArcSight (formerly Micro Focus)

  • Palo Alto Networks Cortex XSOAR

  • QAX SOAR

  • Rapid7 InsightConnect

  • Revelstoke SOAR

  • ServiceNow Security Operations

  • SIRP SOAR

  • Splunk SOAR

  • Sumo Logic Cloud SOAR

  • Swimlane Turbine

  • ThreatConnect

  • ThreatQuotient TDR Orchestrator

  • Tines

  • Torq

 

الخاتمة

الـ SOAR هى تقنيه مهمه جدا للشركات التي تريد ضمان اعلي قدر من الامان عن طريق دمج كل برامج واجهزه الامان زي (SIEM,Firewall,EDR,XDR,NDR,etc) وتقدر توفر تشغيل ألي للامان عن طريق كتيبات اللعب (Play Books) وان شاء الله المقاله الجايه هنتكلم عن برنامج تكميلي لهذه التقنيه وهو XDR.

كل من وصل هنا شكرا لوقتك واتمني يكون المحتوي افادك و أسأل الله أن يعلمنا ما ينفعنا وأن ينفعنا بما علمنا وأن يزيدنا علما.

 

المصادر

ما هو ال SOAR

ما هو ال SOAR 2

soar what is soar is soar important how soar integrate ما هو ال soar كيف يوفر ال soar حمايه