Vai al contenuto

SOC Solution

La Soluzione SOC è un pacchetto di soluzioni composto da quattro soluzioni più piccole e interconnesse: Phishing Triage, Alert Triage, Threat Intelligence (TI), e Case and Incident Management (CIM). Phishing Triage e Alert Triage sono i flussi di lavoro principali di ingresso,che processano eventi in arrivo in segnali nell'applicazione CIM. La soluzione TI viene utilizzata per arricchire gli osservabili estratti dai casi in arrivo. Insieme, le quattro soluzioni creano un insieme potente di flussi di lavoro per triage e gestione efficiente ed efficace di eventi critici di sicurezza.

Esaminiamo cosa fanno queste soluzioni come parte della Soluzione SOC.

Alert Triage

Come Funziona

La soluzione Alert Triage è composta da diversi playbooks che collezionano eventi da un SIEM, EDR, o altra fonte di allarme di sicurezza. Puoi utilizzare un webhook per inviare alert dalla tua fonte alla nostra soluzione, o un componente di ingestione di massa nella soluzione per estrarre alert. Ogni alert viene elaborato per identificare ed estrarre gli osservabili importanti. Viene creato un segnale nell'applicazione Case and Incident Management (CIM) e popola i dati dell'alert rilevante. Quindi l'applicazione Threat Intelligence (TI) valuta gli osservabili scoperti nel tuo alert per categorizzare, valutare e dare priorità all'evento prima della mitigazione o remediation.

Puoi configurare la soluzione per farla funzionare con qualsiasi numero di SIEM, EDR o altri strumenti di sicurezza. Allo stesso modo, puoi personalizzare le azioni del playbook per adattarle ai processi SOC esistenti o preferiti di qualsiasi azienda.

Capacità

La soluzione Alert Triage:

  • Fornisce connettori, risorse e playbooks per il triage degli alert da prodotti SIEM, XDR (extended detection and response), o endpoint detection and response (EDR), ecc.
  • Automatizza l'ingestione degli alert tramite webhook o richiesta API
  • Riassume i dati dell'alert
  • Arricchisce gli osservabili e identifica dati operativi
  • Alimenta la Soluzione CIM

Phishing Triage

Come Funziona

La soluzione Phishing (Email) Triage è composta da diversi playbook che elaborano le email che gli utenti inviano perché sospettano che siano tentativi di phishing. La soluzione estrae le informazioni critiche dalla email (come gli osservabili) e li allega a un nuovo segnale nell'applicazione CIM. Quindi i provider TI, configurati nell'applicazione TI, valutano gli osservabili scoperti nella presunta email di phishing. Viene generata anche un'immagine renderizzata della presunta email di phishing per fornire un modo sicuro per visualizzare i contenuti dell'email. Inoltre, la soluzione può salvare gli allegati delle email nel record TI della minaccia. Per motivi di sicurezza, la funzionalità è disabilitata per impostazione predefinita. Inoltre, per motivi di sicurezza, un'immagine dell'email originale viene salvata come parte del caso anziché il contenuto originale.

Gli utenti possono personalizzare i playbook di triage delle frodi per adattarli ai processi SOC esistenti o preferiti di qualsiasi azienda.

Capacità

La soluzione Phishing Triage ha le seguenti capacità:

  • Fornisce connettori, risorse e playbooks per il triage di email di phishing segnalate
  • Automatizza l'ingestione di email con email di phishing segnalate in allegato
  • Riassume i dati delle email di phishing segnalate
  • Arricchisce gli osservabili e identifica dati operativi
  • Alimenta la soluzione di Gestione dei Casi e degli Incidenti

Flusso di Lavoro

Threat Intelligence

Come Funziona

La soluzione Threat Intelligence (TI) lavora con uno o più provider di intelligence sulle minacce per arricchire le prove osservabili estratte nelle soluzioni di Triage di Phishing e Alert. Quando viene creato un record TI, diversi playbook valutano l'osservabile contro l'intelligence fornita dai provider di intelligence. I risultati vengono utilizzati per aggiornare il record TI, che è associato al segnale in corso di triage.

Capacità

La soluzione Threat Intelligence:

  • Fornisce connettori, risorse e playbooks per l'arricchimento degli osservabili TI
  • Consente la configurazione di più provider di intelligence sulle minacce, inclusa una configurazione di un provider primario fidato per tipo di osservabile (dominio, IP, ecc.)
  • Consente l'arricchimento automatico di osservabili identificati dai playbooks di Alert e Phishing Triage e dalle ricerche ad hoc attraverso la soluzione CIM

Flusso di Lavoro

Gestione dei Casi e degli Incidenti

Come Funziona

La soluzione CIM lavora con le soluzioni di Alert Triage e Phishing Triage per creare e gestire segnali per ogni evento in fase di investigazione. I segnali creati fungono da punto di interazione principale per le indagini, mostrando dettagli, stato e prossimi passi per ogni segnale. I segnali identificati come veri positivi o importanti possono essere elevati allo stato di caso. Se i casi sono ritenuti impattanti per la sicurezza, possono essere promossi a incidenti.

Gli utenti possono personalizzare i playbook CIM per adattarli ai processi SOC esistenti o preferiti di qualsiasi azienda.

Capacità

La soluzione di Gestione dei Casi e degli Incidenti fornisce un'interfaccia utente interattiva per:

  • Attività di triaging per le email di phishing segnalate dalla soluzione Phishing Triage
  • Attività di triaging per gli alert dalla soluzione Alert Triage
  • Visualizzare, interagire, arricchire e aggiungere osservabili tramite la soluzione Threat Intelligence
  • Documentare ricerche e note relative ad un'indagine
  • Fornire dettagli sull'indagine e articoli della Knowledge Base
  • Raccogliere metriche dettagliate come MTTR, MTTD, Dwell Time, ecc.
  • Identificare le fasi MITRE ATT&CK
  • Lavorare su un'indagine per l'intero ciclo di vita, dall'ingestione del segnale attraverso l'escalation a caso e incidente, la remediation e la risoluzione.