AN NINH (SOAR)
Su gia tang về số lượng và sự phức tạp của các mối đe dọa trên mạng đặt ra thách thức lớn đối với đội ngũ an ninh mạng. Trong bối cảnh đó, Hệ thong Diéu phối, Tự động hoá và Phản hồi An ninh (SOAR) ra đời và trở thành một cầu noi quan trọng giữa các công cụ và quy trình, hỗ trợ tự động hóa và tối ưu hóa quy trình ứng phó sự
co.
Hai nên tảng nồi bật được giới thiệu là Shuffle và TheHive. Shuffle, với thiết kể linh hoạt và sự mạnh mẽ trong tích hợp, cung cấp một giải pháp SOAR da chức năng, trong khi TheHive tập trung vào quản lý các sự có. Cả hai déu là công cụ hữu ich cho tổ chức trong việc đối mặt với những thách thức an ninh hiện đại.
Chương này sẽ cung cấp một cách nhìn tổng quan về SOAR, đồng thời tập trung vào những đặc điểm của Shuffle và TheHive. Bằng cách tập trung vào tính năng và tu điểm cụ thể của từng nên tảng, chúng ta sẽ hiểu rõ hơn vé cách chúng có thể được tích hợp để xây dựng một hệ thống SOAR mạnh mẽ, linh hoạt và hiệu quả.
2.1. Tổng quan về hệ thống điều phối, tự động hóa và phản hồi an ninh
(SOAR):
2.1.1. Khái niệm SOAR [4]:
Security Orchestration, Automation and Response (SOAR) tạm dịch hệ thống điều phối, tự động hóa và phản hồi an ninh kết hợp các kha năng ứng phó sự có, điều phối
và tự động hóa cũng như quản lý thông tin về mối đe dọa (TD) trong một nền tảng duy nhất. Các công cu SOAR cũng được sử dụng dé ghi lại và triển khai các quy trình (còn gọi là playbooks, workflows va processes); hỗ trợ quản lý sự cố an ninh và áp dụng hỗ trợ dựa trên học máy cho các nhà phân tích và vận hành an ninh.
Nguyễn Đức Sơn - B19DCAT153 20
Đồ án tốt nghiệp đại học Chương 2: SOAR
Security Orchestration, Automation, and Response
Orchestration Automation Response
Playbooks, workflows Automated scripts Case management Logically organized plan Extensible product Analysis and reporting
of action integrations
Controlling, activating security Machine execution of Communication and
product stack from central playbook tasks collaboration
location
Hinh 2-5. Security Orchestration, Automation and Response 2.1.2. Cac tính năng và lợi ich SOAR mang lại [5]:
2.1.2.1. Các tính năng SOAR cung cấp:
- Quan lý quy trình công việc có khả năng tùy biến cao cho phép chuyền các tác vụ tự động lặp lại thành playbook riêng biệt hoặc kết hợp với nhau thành các
quy trình công việc phức tạp hơn.
- Kha năng lưu trữ dt liệu quản lý sự cố (cục bộ hoặc trong hệ thong bén thir 3) dé hỗ trợ điều tra SecOps.
- Kết hop giữa vận hành tự động va thủ công giúp tăng cường cho người vận hành, nhà phân tích bảo mật thực hiện nhiệm vụ vận hành một cách nhất quán.
- _ Cung cấp cơ chế đối chiếu và vận hành trong việc sử dụng thông tin về mối de
dọa.
- H6 trợ nhiều công nghệ bảo mật hiện có giúp cải thiện hiệu quả.
2.1.2.2. Lợi ích mà SOAR đem lại:
- _ Giảm thời gian phản ứng với các sự cố xảy ra
- Tang hiệu quả của trung tâm SOC
- _ Giảm sự phức tạp của quy trình làm việc
2.1.3. Một số sản phẩm SOAR:
2.1.3.1. Splunk SOAR [6]:
Splunk SOAR được cung cấp bởi Splunk Enterprise là hệ thống điều phối, tự động hóa và phản hồi an ninh được dùng cho các doanh nghiệp lớn. Splunk SOAR cung cấp
các tính năng cơ bản của SOAR:
- Quan lý các trường hop (case) - Quan lý các sự kiện (event)
- Cho phép tạo các playbook
Nguyễn Đức Sơn - B19DCAT153 2
Đồ án tốt nghiệp đại học Chương 2: SOAR
- _ Cung cấp phần mềm cho người quản trị trên điện thoại
Splunk SOAR cung cấp khoảng hơn 100 playbook được định nghĩa sẵn và hơn 300 phần mềm tích hợp với bên thứ 3, ngoài ra Splunk SOAR còn hỗ trợ mô hình triển khai với nhiều node nhằm đáp ứng việc cân bằng tải cho các hệ thống lớn.
Hinh 2-6. Splunk SOAR 2.1.3.2. Cortex XSOAR [7]:
Cortex XSOAR là hệ thống điều phối, tự động hóa và phản hồi an ninh được cung cấp bởi công ty Palo alto. Cortex XSOAR cung cấp các tính năng cơ bản của SOAR:
- Quan lý các trường hop (case) - Quan lý các sự kiện (event)
- Cho phép tạo các playbook
- _ Cung cấp môi trường dé tương tác cho nhiều người sử dung
Cortex XSOAR có tới 1000 playbook được xây dựng sẵn và hơn 970 công cụ được tích hợp với bên thứ 3, XSOAR cũng cung cấp mô hình triển khai cho cân bằng tải.
Nguyễn Đức Sơn - B19DCAT153 22
Đồ án tốt nghiệp đại học Chương 2: SOAR