7 nejlepších nástrojů pro reakci na incidenty
Reakce na incidentje proces identifikace kybernetického útoku, jeho zablokování a zotavení se ze škod, které způsobil. Nástroje reakce na incidenty zahrnují podpůrný software a služby, které pomáhají identifikovat kybernetický útok, a také nástroje, které útoky automaticky blokují.
Reakce na incident nemusí být automatizovaná. Software, který nezávisle spouští akce při detekci narušení nebo aktivity malwaru, je však stále dostupnější. Tento typ systému reakce na incidenty se nazývá VZDÁT SE , což znamená „ Bezpečnostní organizace, automatizace a odezva “.
Systémy SOAR propojují identifikátory útoků pomocí analytických nástrojů a dále s obrannými systémy, které zastaví útok a zvrátijí a poškození, ke kterému došlo. SOAR je téměř synonymem pro systém prevence narušení (IPS). SOAR však integruje další přední standard detekce útoků: SIEM .
Zde je náš seznam sedmi nejlepších nástrojů pro reakci na incidenty:
- Správce událostí zabezpečení SolarWinds VÝBĚR REDAKCE Nástroj SIEM, který zahrnuje analýzu a spouštěče akcí, které z něj dělají nástroj reakce na incidenty. Zahajte 30denní bezplatnou zkušební verzi.
- CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Hybridní řešení, které podporuje detekci útoků koordinací dat událostí shromážděných z každého koncového bodu v síti. Zahajte 15denní bezplatnou zkušební verzi.
- ManageEngine Log360 (ZKOUŠKA ZDARMA) Tento SIEM generuje upozornění do systémů service desk pro reakci na incidenty. Běží na Windows Server. Zahajte 30denní bezplatnou zkušební verzi.
- AT&T Cybersecurity USM Anywhere Plná cloudová služba SOAR postavená na AlienVault OSSIM.
- Splunk Phantom Systém pro vyšetřování útoků a nástroj pro automatizaci reakce. Tento systém se připojuje jako doplněk ke standardnímu nástroji Splunk nebo jinému systému SIEM.
- odejdu Bezpečnostní platforma SaaS, která zahrnuje SIEM, analýzu a automatickou reakci na incidenty.
- LogRhythm SIEM Platforma SIEM nové generace, která zahrnuje analýzu chování uživatelů a entit, vyhledávání hrozeb a SOAR.
SIEM znamená „ Bezpečnostní informace a správa událostí “. Tvoří detekční část SOAR a spoléhá se na dvě strategie: správa bezpečnostních informací , který prověřuje soubory protokolu, zda nevykazují známky škodlivé aktivity a správa bezpečnostních událostí , která zkoumá vzorce provozu v síti a další živé indikátory.
Vzhledem k tomu, že SIEM je hlavní součástí SOAR, jsou dodavatelé nástrojů SIEM na špici SOAR a rozšiřují své odborné znalosti do oblastí analýzy hrozeb a reakce na incidenty. Dalšími velkými hráči na poli reakce na incidenty jsou výrobci antivirových systémů. Tyto společnosti se již dlouho věnují vyhledávání malwaru a jeho odstraňování. Aby mohli poskytnout úplný nástroj pro odezvu na incidenty, stačí přidat obranu proti aktivitě hackerů a vniknutí do jejich zbrojnice.
Nejlepší nástroje pro reakci na incidenty
Přestože průmyslová odvětví jsou často převrácena rušivými a inovativními nováčky, obecně převažují zavedené a zkušené podniky, které přizpůsobují své odborné znalosti novým technikám. V oblasti incidenční odezvy softwarové domy, které mají silné zázemí v systémech kybernetické bezpečnosti nabídnout nejlepší nástroje pro reakci na incidenty.
Naše metodika pro výběr systému reakce na incidenty
Přezkoumali jsme trh s nástroji pro reakci na incidenty a analyzovali možnosti na základě následujících kritérií:
- Spojení od detekce k rozlišovacím systémům
- Koordinace se správci přístupových práv a firewally
- Přizpůsobitelná pravidla akcí
- Logování akcí
- Živé zprávy o stavu
- Bezplatná zkušební verze nebo ukázka pro příležitost k hodnocení bez rizika
- Hodnota za peníze, kterou poskytuje automatizovaný systém za rozumnou cenu
Pomocí této sady kritérií jsme hledali řadu služeb reakce na dopady, které se budou integrovat se službami zabezpečení, které již ve vaší síti fungují.
1. Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
SolarWinds vyniká v monitorování systému a od tohoto výchozího bodu přistupovala k vývoji nástroje pro reakci na incidenty. Navzdory tomu, že byl nazýván Správce bezpečnostních událostí (SEM), tento nástroj je správcem bezpečnostních informací ( Ano ). Prohledává soubory protokolu, aby identifikoval možnou škodlivou aktivitu. To řadí tento nástroj do kategorie bezpečnostních řešení SIEM a SolarWinds posunul hranice tohoto formátu, aby dosáhl na území odezvy na incidenty.
Klíčové vlastnosti:
- Místní pro Windows Server
- Stanovení priority hrozeb
- Přizpůsobitelná pravidla
- Integruje se s Active Directory
- Připojuje se k firewallům
SolarWinds obsahuje modul s SEM, který se nazývá Aktivní odezva . Toto je poslední fáze, kdy se SEM stane službou plné detekce a reakce na incidenty. SIM detekuje anomálie a zpřesňuje priority hrozeb a poskytuje službu třídění prostřednictvím služby výstražný mechanismus . Upozornění lze ponechat pouze pro informování operátora, který je pak schopen rozhodnout o opatřeních ke zmírnění. Je-li však aktivní odezva zapnutá, mnoho ruční práce spojené s reagováním na události může být odstraněno.
Aktivní odezva je základna pravidel pro spouštění událostí a akcí – Spouštěč A spustí akci X. Nechat systémový nástroj implementovat reakci může být považováno za nebezpečí. Tato pravidla akcí jsou však přizpůsobitelná a operátor se může rozhodnout, jak daleko má SEM zajít při provozu systému odezvy. Typy akcí, které může SEM spustit, zahrnují spuštění trasování, pozastavení uživatelského účtu ve službě Active Directory nebo aktualizaci tabulky brány firewall za účelem blokování přístupu z konkrétní adresy IP. Všechny tyto akce lze vrátit zpět, protože jsou všechny zdokumentovány.
Klady:
- Nabízí jak nástroje pro reakci na incidenty, tak i automatizovanou nápravu a prevenci
- SIEM zaměřený na podniky se širokou škálou integrací
- Jednoduché filtrování protokolů, není třeba se učit vlastní dotazovací jazyk
- Desítky šablon umožňují správcům začít používat SEM s malým nastavováním nebo přizpůsobením
- Nástroj historické analýzy pomáhá najít anomální chování a odlehlé hodnoty v síti
Nevýhody:
- SEM je pokročilý produkt SIEM vytvořený pro profesionály, vyžaduje čas, aby se plně naučil platformu
Software pro SolarWinds Security Event Manager se nainstaluje na Windows Server . Můžete si to vyzkoušet pomocí 30denní bezplatné zkušební verze.
VÝBĚR REDAKCE
SSprávce událostí zabezpečení SolarWindsnikdy nezmeškáte žádnou bezpečnostní událost kdekoli ve vaší síti. SEM je také skvělý pro reakci na hrozby v reálném čase pomocí modulu Active Response, kde můžete nastavit pravidla pro spouštění akcí. Nezbytný nástroj.
Zahájit 30denní bezplatnou zkušební verzi:solarwinds.com/security-event-manager/use-cases/incident-response-software
VY:Windows Server
dva. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insightsje služba reakce na incidenty . Jedná se o lidské poradenství, které lze sjednat na vyčištění po narušení bezpečnosti. Zákazníci se na tuto službu pravděpodobně obrátí pouze tehdy, když zjistí, že již měli bezpečnostní incident.
Klíčové vlastnosti:
- Hybridní systém
- Koordinuje události na koncových bodech
- Poběží na offline koncových bodech
- Tým technické reakce
Nástroje, které používají technici týmu CrowdStrike Incident Response, jsou také nabízeny podnikům jako součást sady bezpečnostního softwaru, tzv. CrowdStrike Falcon .
CrowdStrike Falcon je bezpečnostní platforma. Zahrnuje mnoho prvků, z nichž každý pokrývá jiný aspekt infrastruktury nebo služby pro bezpečnostní výzkum. Všechny moduly platformy Falcon spolupracují, aby kompletně chránily systém.
Falcon Insight je služba detekce a odezvy koncových bodů (EDR). Jedná se o vyvinutý antivirový systém. Nenahrazuje však AV, protože sada Falcon obsahuje AV net-gen, tzv Falcon Prevent . Specializovanou úlohou Falcon Insight je koordinovat obranné strategie mezi mnoha koncovými body v síti.
Platforma Falcon kombinuje on-premise software a cloudový prvek, který vytváří dvojí zaměření na bezpečnostní služby. Nainstalovaný prvek je to, co by vyhovovalo antivirovému systému. Výhodou instalace softwaru na každém koncovém bodu je, že může pokračovat v práci, i když vypadne internetové připojení nebo dojde k problému se sítí. Cloudová část služby agreguje data ze všech koncových bodů na webu, abyste vytvořili pohled na síťovou aktivitu. Falcon Insight spojuje tyto dva prvky.
Software pro koncové body poskytuje okamžitou ochranu, zatímco centrální konsolidátor dat funguje jako nástroj SIEM, který analyzuje záznamy událostí nahrané agenty koncových bodů a hledá vzorce chování což by znamenalo průnik nebo jiný typ celosystémového útoku. Centrální služba Falcon také aktualizuje všechny koncové body novými detekčními strategiemi, takže koordinace mnoha instancí vytváří bezpečnostní síť.
Falcon Insight pracuje ve shodě s ostatními prvky platformy a vytváří a VZDÁT SE . Prioritním úkolem Falcon Insight v tomto týmovém projektu je identifikovat a upřednostňovat potenciální hrozby. Toto je známé jako „ třídění “ v reakci na incident. Zkracuje dobu zmírňování tím, že identifikuje nejpravděpodobnější bod aktivity, která by se mohla dále šířit, což umožňuje obranné strategie zaměřit se na místo nového útoku.
CrowdStrike prodává platformu Falcon v balíčcích. Každý balíček obsahuje Falcon Prevent, antivirový systém nové generace. Čtyři plány nabízené CrowdStirke jsou Falcon Pro , Falcon Enterprise , Falcon Premium , a Falcon dokončen . Každá z těchto edic kromě Falcon Pro obsahuje Falcon Insight.
Celkově má každý prvek v sadě služeb platformy své vlastní specializované metodiky a jejich kombinace vytváří jednotnou bezpečnostní službu, která je silnější než součet jejích částí.
Klady:
- Při detekci hrozeb se nespoléhá pouze na soubory protokolu, k okamžitému nalezení hrozeb používá procesní skenování
- Funguje jako hybridní produkt SIEM/SOAR
- Dokáže sledovat a upozorňovat na anomální chování v průběhu času, zlepšuje se, čím déle monitoruje síť
- Lze nainstalovat buď on-premise, nebo přímo do cloudové architektury
- Lehčí agenti nezpomalí servery ani zařízení koncových uživatelů
Nevýhody:
- Prospěla by delší zkušební doba
Plány Falcon jsou zpoplatněny předplatným se sazbou za koncový bod za měsíc. Můžeš dostat15denní bezplatná zkušební verzesystému Falcon, i když to zahrnuje pouze Falcon Prevent.
Falcon Insight je dalším skvělým nástrojem reakce na incidenty, protože ukazuje, jak lze jeden kus softwaru pro kybernetickou bezpečnost – AV – rozšířit na nástroj pro reakci na incidenty přidáním koordinace v rámci celého systému. Falcon insight kombinuje tradiční aktivity AV a firewallu, které chrání zařízení, s funkcemi skenování dat nástroje SIEM. Jedná se o nápaditou reinterpretaci již existujících technologií, která poskytuje zesílený obranný systém prostřednictvím strategie platformy.
Získejte 15denní bezplatnou zkušební verzi : go.crowdstrike.com/try-falcon-prevent.html
VY:Windows, macOS, Linux
3. ManageEngine Log360 (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
ManageEngine Log360 je místní SIEM, který shromažďuje data z více systémů a vyhledává ve skupině protokolových zpráv indikátory útoku. Nástroj neimplementuje přímou odezvu, ale odesílá upozornění prostřednictvím systémů service desk, aby získal okamžitou pozornost systémových techniků.
Klíčové vlastnosti:
- Prohledává weby a cloudové platformy
- Konsoliduje formáty protokolů
- Detekce hrozeb
- Správa protokolů
Balíček Log360 obsahuje knihovnu agentů – jednu pro každý operační systém a také pro cloudové platformy, jako např AWS a Blankyt . Agenty nainstalujete na každý koncový bod a cloudový účet. Poté shromažďuje všechny protokolové zprávy z operačního systému a softwarových balíčků. Nástroj dostane Události systému Windows ze systémů Windows a Syslog zprávy z Linuxu. Agenti mohou spolupracovat s více než 700 softwarovými balíčky a extrahovat provozní data.
Agenti předávají zprávy protokolu do centrály log server . To převede všechny přicházející zprávy do standardního formátu. Díky standardizovaným protokolům je lze shromažďovat společně v Log360 prohlížeč dat a také v souborech protokolu. Log server spravuje ukládání protokolů, rotuje soubory a ukládá je do smysluplné adresářové struktury. To je důležité, protože protokoly musí být přístupné pro audit shody, pokud potřebujete mít certifikaci pro standard ochrany dat. Balíček Log360 obsahuje vykazování souladu pro HIPAA, PCI DSS, FISMA, SOX, GDPR a GLBA.
Přístrojová deska ukazuje živé statistiky propustnost zpráv protokolu a výsledky prověřování detekce hrozeb. Konzole má prohlížeč dat, který zobrazuje zprávy protokolu tak, jak přicházejí. Je také možné načíst soubor protokolu. Prohlížeč dat obsahuje nástroje pro analýzu .
ManageEngine poskytuje a zpravodajství o hrozbách zdroj, který shromažďuje informace o hackerských útocích a událostech narušení, které se dějí po celém světě. Získání informací o aktuálních strategiích útoku dává funkci vyhledávání hrozeb v Log360 lepší představu o tom, co hledat. Systém pracuje s velkým objemem dat, která jsou neustále přidávána a získávání pokynů, co hledat jako první, urychluje proces detekce hrozeb.
Když lovec hrozeb v Log360 objeví podezřelou aktivitu, vygeneruje výstrahu. Výstrahy si můžete prohlížet na řídicím panelu, ale je také možné je nechat zasílat do systému vašeho servisního pultu. Nástroj umí pracovat s Správa Engine Service Desk Plus , Ano , a Kayoko . Priorita udělená Log360 v rámci vašeho systému service desk závisí na zásadě, kterou nastavíte v nástroji pro správu týmu. Můžete se rozhodnout směrovat výstrahy Log360 na konkrétní členy týmu a také přidat hodnocení priority.
Klady:
- Konsoliduje protokoly z mnoha zdrojů
- Shromažďuje Syslog, události Windows a protokoly aplikací
- Oznámení směruje prostřednictvím systémů service desk
- Hlášení o shodě
Nevýhody:
- Žádný serverový software pro Linux
Server pro ManageEngine Log360 se nainstaluje na Windows Server . Balíček můžete posoudit pomocí a30denní bezplatná zkušební verze.
ManageEngine Log360 Start 30denní zkušební verze ZDARMA
Čtyři. AT&T Cybersecurity USM Anywhere
Až donedávna se tento balíček zabezpečení systému nazýval AlienVault Unified Security Management . AlienVault získal AT&T v roce 2018 a noví majitelé odešli starou značku AlienVault.
Klíčové vlastnosti:
- Cloudové
- Na základě OSSIM
- Proaktivní zpevnění systému
USM kdekoli je placená verze široce chváleného bezplatného open source AlienVault OSSIM – AT&T ponechala na tomto produktu název AlienVault. Standardy OSSIM pro „ open source správa bezpečnostních informací “. Je to široce používaný nástroj SIEM a tvoří jádro USM Anywhere.
Sekce OSSIM USM Anywhere je sběrač dat a analyzátor hrozeb. Služba prohledává protokolové soubory a skenuje síťový provoz a hledá známky škodlivé aktivity. S USM Anywhere jsou funkce monitorování systému OSSIM rozšířeny o hardware a software objevování aktiv plus řízení zásob odstartování celého procesu. Systém SIEM konsoliduje a ukládá protokolové zprávy a poskytuje přístup k těmto záznamům prostřednictvím prohlížeče, který zahrnuje funkce pro třídění a vyhledávání.
USM Anywhere dodává posouzení zranitelnosti algoritmy k jeho síťovým skenovacím rutinám. Správa aktiv a kontroly zranitelnosti umožňují správcům systému uvědomit si slabá místa konfigurace, která lze řešit za účelem posílení systému.
Monitorování systému je řízeno ze serverů AT&T v cloudu. Služba je schopna chránit všechna aktiva předplatitelského podniku, včetně více míst a také AWS a Blankyt cloudové servery.
USM Anywhere je SOAR, protože zahrnuje shromažďování dat ze zdrojů třetích stran, informační kanály o hrozbách, prioritizaci hrozeb a automatické odpovědi , které zahrnují interakci s jinými službami, jako jsou firewally. Zdroj informací o hrozbách pochází z Open Threat Exchange (OTX) , platforma pro informace o hrozbách spravovaná AlienVaultem.
Klady:
- K dispozici pro Mac a Windows
- Může skenovat soubory protokolu a také poskytovat zprávy o hodnocení zranitelnosti na základě zařízení a aplikací skenovaných v síti
- Uživatelsky poháněný portál umožňuje zákazníkům sdílet svá data o hrozbách za účelem vylepšení systému
- Využívá umělou inteligenci k pomoci správcům při hledání hrozeb
Nevýhody:
- Rád bych viděl delší zkušební dobu
- Rád bych viděl více možností integrace do jiných bezpečnostních nástrojů
Jedná se o cloudovou službu, která zahrnuje úložný prostor a reportovací modul a také služby kybernetické bezpečnosti. Šablony sestav, které jsou naformátovány podle standardů zabezpečení dat, jsou součástí balíčku. AT&T Cybersecurity USM Anywhere je předplatitelskou službu se třemi edicemi: Nezbytný , Standard , a Pojistné . Hlavní rozdíl mezi těmito plány spočívá v době uchovávání dat. Plán Essentials nezahrnuje mechanismy automatické reakce na incidenty ani interakci s nástroji třetích stran pro orchestraci.
5. Splunk Phantom
Splunk Phantom je systém SOAR a je součástí širší platformy, která se nazývá Splunk Security Operations Suite. Automatická reakce na incidenty je součástí funkce Splunk Phantom.
Klíčové vlastnosti:
- On-premise nebo cloud
- Odezva playbooky
- Řízená analýza hlavních příčin
Ústředním prvkem systému Splunk Phantom je koncept „ playbooky “. Jedná se o automatizované pracovní postupy, které vytvářejí procesní řetězce k detekci anomálií nasazením výběru dostupných nástrojů. Pracovní postupy zahrnují podmíněné větvení, které může vést ke spuštění zmírňujících opatření. Tyto pracovní postupy lze spustit ručně nebo nastavit tak, aby běžely nepřetržitě ve smyčce a hledaly problémy.
Uživatel může sestavit vlastní playbooky prostřednictvím grafické editační obrazovky. Návrhář vypadá jako editor vývojového diagramu. Každé políčko v playbooku představuje proces. Toky se mohou větvit a vytvářet samostatná vlákna, která běží současně.
Reakce na incidenty se nemusí spouštět automaticky. Systém Phantom obsahuje modul pro spolupráci, který podporuje správu incidentů. Tento systém pro vytváření poznámek pomáhá týmům prozkoumat výstup investigativního playbooku.
Vedení fantomové mise je intuitivní průvodce pro analýzu. Tento systém navrhuje možná vysvětlení objevů, což vede k další analýze k potvrzení nebo vyloučení možného scénáře.
Klady:
- Nabízí analýzu hlavních příčin pro rychlejší nápravu
- Manažeři mohou navrhovat příručky o hrozbách – skvělé pro přivedení nových členů týmu do tempa
- Podporuje Windows, Linux, macOS a řadu dalších prostředí
- Podporuje bezplatnou verzi – skvělé pro testování
Nevýhody:
- Vhodnější pro podnikové sítě
Phantom automaticky nesleduje systémy. Potřebujete hlavní systém Splunk jako zdroj dat. Pokud však nechcete platit za dva nástroje, můžete získat bezplatnou verzi Splunk. Bezplatná verze Splunk Phantom neexistuje. Splunk a Splunk Phantom lze nainstalovat na Okna , Linux , Operační Systém Mac , FreeBSD , Solaris 11 , a AIX .
6. odejdu
Exabeam je sada bezpečnostních operací který je založen na SIEM. Služba je hostovaná, a tak získáte také výpočetní výkon a úložný prostor na serverech Exabeam. SIEM vyžaduje instalaci agentů pro sběr dat na místě. Ty shromažďují zprávy protokolu a nahrávají je na server Exabeam. Tato zdrojová data jsou shromážděna a sjednocena do Exabeam Data Lake , který je zdrojem jak pro SIEM, tak pro analytické funkce v konzole Exabeam.
Klíčové vlastnosti:
- Cloudové
- Implementuje SOAR
- Odezva playbooky
Bezpečnostní sada obsahuje a Analýza chování uživatelů a entit (UEBA) modul, tzv Exabeam Advanced Analytics , což je proces strojového učení na bázi umělé inteligence, který zkoumá typickou aktivitu za účelem stanovení měřítka a poté identifikuje odchylky od této normy.
Odpovědi na incidenty lze spustit ručně prostřednictvím konzoly nebo nastavit automatické spouštění prostřednictvím Exabeam VZDÁT SE mechanismus. The Vysvětlím Incident Responder je založeno na ' playbooky “. Jedná se o pracovní postupy, které definují akce, které mají být spuštěny při detekci konkrétní události. Příručky mohou také vytvářet pokyny pro akce pro pracovní postupy ruční odezvy. Dokončení každého kroku v playbooku je zaznamenáno, což poskytuje auditní stopa pro hlášení souladu.
Exabeam nabízí dobrý poměr ceny a kvality a vynikající služby s uzavřenou smyčkou tím, že kombinuje systémy UEBA a SOAR spolu se SIEM – mnoho konkurenčních produktů účtuje za každý modul zvlášť.
Jelikož se jedná o online službu, nemusíte se starat o údržbu softwaru. Ke konzoli se přistupuje prostřednictvím libovolného standardního prohlížeče. Exabeam také nabízí archivační služba které lze přidat do balíčku Exabeam a uchovávat archivy souborů protokolu.
Klady:
- Podporuje pracovní postupy reakce na incidenty, příručky a automatizaci
- Nabízí užitečné funkce dotazů pro filtrování velkých datových sad
- Lze použít pro hlášení shody a interní audity pro HIPAA, PCI DSS atd.
- Nabízí archivaci dat jako službu – skvělé pro společnosti, které chtějí zaznamenávat svá data o hrozbách
Nevýhody:
- Rozhraní by se dalo vylepšit – jednodušší rozložení, lepší grafická úprava atd.
Exabeam SaaS je k dispozici na zkušební verze zdarma .
7. LogRhythm SIEM
Platforma LogRhythm NextGen SIEM poskytuje moduly služeb pro detekci a vypnutí bezpečnostních hrozeb. Systém obsahuje živé monitorovací nástroje, které uživatelům poskytují doplňkovou službu a zároveň shromažďují informace, které lze vkládat do SIEM. Tyto jsou NetMon pro monitorování sítě a SysMon pro monitorování koncových bodů. SysMon také shromažďuje zprávy protokolu, které je možné nahrát na server LogRhythm. Je volán přijímající server protokolu AnalytiX .
Klíčové vlastnosti:
- Cloudové
- Používá SOAR
- Sanační pracovní postupy
AnalytiX nabízí prohlížeč dat se základními analytickými nástroji, jako je vyhledávání a třídění. Poslední dva moduly LogRhythm SIEM jsou DetectX , což je systém lovu hrozeb, a RespondX což je SOAR. Služby automatické reakce na incidenty jsou obsaženy v RespondX. Předplatitelé LogRhythm mají možnost upgradovat DetectX přidáním UserXDR , což je systém pro analýzu chování uživatelů a entit pro zpřesnění detekce anomálií.
RespondX jako SOAR je schopen spolupracovat s nástroji třetích stran, jako jsou firewally, za účelem implementace rutin pro uzamčení. Je volán hlavní modul odezvy na incidenty SOAR Automatizace SmartResponse . To nabízí možnost pracovního postupu, který se spustí automaticky podle předem nastavených nebo přizpůsobených pravidel.
Klady:
- Používá jednoduché průvodce k nastavení shromažďování protokolů a dalších bezpečnostních úkolů, díky čemuž je nástroj přívětivější pro začátečníky Elegantní rozhraní, vysoce přizpůsobitelné a vizuálně přitažlivé Využívá umělou inteligenci a strojové učení pro analýzu chováníVýborně pracuje při živém zpracování dat
Nevýhody:
- Chtěli byste vidět zkušební možnost
LogRhythm je k dispozici jako cloudová služba . Lze jej také získat pro místní instalaci se softwarem, který běží dál Windows Server . LogRhythm lze také dodat jako síťové zařízení .
Výběr nástroje reakce na incidenty
Dobrým zdrojem nástrojů pro odezvu na incidenty jsou dodavatelé SIEM, kteří rozšířili svůj základní produkt o vytvoření platforem SOAR. Tuto další hlavní kategorii dodavatelů nástrojů pro reakci na incidenty tvoří společnosti poskytující služby v oblasti kybernetické bezpečnosti služby zmírňování útoků . Technici těchto podniků vyvinuli vlastní nástroje pro svou práci a mnoho z nich je také uvolněno pro širší obchodní komunitu. Prozkoumáním všech zdrojů bezpečnostního softwaru jsme identifikovali několik velmi dobrých možností.
Časté dotazy k systémům reakce na incidenty
Jaký je nejrozšířenější nástroj v reakci na cloudové incidenty?
Trhu nástrojů pro reakci na incidenty dominují systémy SIEM. V posledních letech poskytovatelé nástrojů SIEM přesunuli svůj software do cloudu. Tyto nástroje mohou dohlížet na zabezpečení více webů a cloudových zdrojů z jednoho účtu.
Jakých je 7 kroků v reakci na incident?
Sedm kroků reakce na incident je:
- Připravit
- Identifikovat
- Obsahovat
- Vymýtit
- Obnovit
- Učit se
- Testovat a opakovat