В статье вы будете встречать следующие сокращения: ● SOC – Security Operation Center ● MTTR – Mean Time to Respond ● MTTD – Mean Time to Detect ● SOAR – Security Orchestration, Automation, and Response 
А также термины: ● False-Positive – термин, означающий ложноположительные срабатывания. ● ИБ – информационная безопасность. ● TIM – Threat Intelligence Management ● Playbook – сценарий, позволяющий автоматизировать многие процессы обеспечения безопасности, такие как проведение расследований, управление тикетами. ● Incident Response (IR) – это процессы организации для обнаружения и реагирования на угрозы и нарушения кибербезопасности. 

SOC, также ЦИБ (Центр Информационной Безопасности) или ОЦИБ (Операционный Центр Информационной Безопасности), состоит из трех основных компонентов: 1. People 2. Processes 3. Technology 
Эти три компонента составляют единый механизм — “автомобиль”, который движется в определённом направлении. Предположим, что у этого автомобиля отказал двигатель, или коробка передач, или банально спустило колесо. Как итог — движение приостановится. То же самое с SOC, если один из его основных компонентов будет не корректно отрабатывать, эффективность в целом упадёт.  В современных реалиях у SOC огромное количество утилит и решений, и для эффективной работы с каждым из решений требуется экспертиза. Невозможно знать каждое решение или каждого вендора на 100%. Это проблема номер один.  Далее мы сталкиваемся с большим количеством false-positives, ведь каждое решение генерирует свои алерты и инциденты, и зачастую SOC-аналитикам приходится тратить своё драгоценное время на решение ложноположительных срабатываний.  А если на вышеперечисленное ещё и наложить отсутствие чётко поставленных процессов и процедур, эффективность SOC стремится к минимуму. 

Ладно, с проблемой всё ясно, но как её решить? Ответ есть, и это решения класса SOAR.

Рассмотрим на примере решения от Palo Alto Networks, Cortex XSOAR.
XSOAR – это аббревиатура от Extended Security Orchestration, Automation, and Response. Решения класса SOAR выступают в роли централизатора и оркестратора для других решений в ИБ.
Давайте предположим, что есть система, которая может сама: ● Решать инциденты. ● Определять, что является ложноположительным срабатыванием, а что действительно реальной кибератакой. ● По итогу решения инцидента применять нужные конфигурации в решениях таких, как NGFW, EDR/XDR, DLP и так далее. ● По закрытию инцидента уведомить пользователя/его менеджера/SOC аналитика, а также задокументировать инцидент.
Да, это все Cortex XSOAR.

Теперь предлагаю рассмотреть, как это выглядит архитектурно и на практике:

Cortex XSOAR состоит из двух основных компонентов — Server и Engine. 
Для самого простого развертывания будет достаточно одной виртуальной машины под операционной системой Linux (в своей лабе я использовал Ubuntu), в которой можно установить и Server, и Engine. 

Архитектура решения позволяет подстроиться под любую инфраструктуру, даже полностью изолированную от внешнего мира. Нужно всего лишь запустить готовый скрипт-установщик, который сам установит основные компоненты. За более подробной инструкцией по установке и развертыванию решения вы можете обратиться ко мне через личные сообщения.  Далее нас встречают преднастроенные дашборды из коробки, которые можно полностью кастомизировать под любые задачи. Вот несколько примеров: 

Основным преимуществом Cortex XSOAR являются его интеграции. Вы найдете более 800 интеграций с различными вендорами и решениями в Marketplace.

Marketplace

Пример интеграции с песочницей Wildfire
Каждый контент пак содержит в себе как интеграцию, так и готовые плейбуки.

Пример интеграции с Cortex XDR
Интеграции очень простые и в самой системе есть готовые step-by-step гайды по каждой интеграции.
Есть также встроенный TIM:

Автоматизация выполнена за счет скриптов. Поддерживаемы форматы скриптов – Python, Javascript, Powershell. Есть встроенный “помощник”, для таких, как я, которые умеют только читать код.

Сами же плейбуки выглядят следующим образом:

С поверхностным обзором разобрались, теперь к реальному примеру.

В тестовой лабе выполнена интеграция с несколькими решениями, если конкретно, это Palo Alto Networks NGFW, Cortex XDR (еще одно решение из линейки Cortex) и песочница Wildfire.

Инциденты и алерты приходят только из NGFW и Cortex XDR.

В Cortex XSOAR есть встроенная утилита для генерации рандомных инцидентов, что является очень удобным функционалом во время тестирования отработки Playbook.

Я сгенерировал инцидент в Cortex XDR, давайте посмотрим, как Cortex XSOAR отработал этот инцидент.

Переходим в сам инцидент. Как можно заметить, через консоль XSOAR можно во время инвестигирования уже совершить какое-либо действие над конечной станцией, к примеру, изолировать.

Переходим в следующие вкладки.

Cortex XSOAR автоматически применил и запустил Playbook, как видно ниже.

Данный Playbook проводит полный анализ и инвестигирование, на основе полученных данных выдает вердикт, а также применяет реагирование, где это нужно.

Инцидент был проработан, закрыт и задокументирован в базу.

В случае необходимости инцидент можно переоткрыть в любое время и продолжить расследование.

Подведём небольшой итог, что мы получаем с помощью решения Cortex XSOAR для повышения эффективности SOC:

1. Cortex XSOAR предоставляет средства автоматизации и оркестрации, снижая нагрузку на аналитиков и ускоряя время реагирования на инциденты. Это не только повышает производительность, но и позволяет фокусироваться на более сложных задачах, требующих человеческого вмешательства.

2. Важным аспектом Cortex XSOAR является его способность интегрироваться с различными источниками данных и инструментами безопасности. Это создает единую платформу для анализа угроз и реагирования на них, устраняя изолированные острова информации и повышая целостность системы безопасности.

3. Cortex XSOAR обеспечивает полный цикл реагирования на инциденты, начиная от обнаружения и анализа, и заканчивая реагированием и предотвращением будущих инцидентов. Это помогает не только эффективно управлять текущими угрозами, но и улучшить стратегии предотвращения.

4. Внедрение Cortex XSOAR не только улучшает оперативные процессы SOC, но и создает устойчивую и гибкую инфраструктуру для борьбы с постоянно развивающимися киберугрозами. Это инвестиция в безопасность, которая приносит высокие дивиденды в виде улучшенной производительности и защищенности данных.

Благодаря этим преимуществам Cortex XSOAR становится неотъемлемым компонентом современного SOC, помогая организациям достигать новых высот в обеспечении информационной безопасности.