SOAR - Security Orchestration, Automation and Response
Les outils de type SOAR - Security Orchestration, Automation and Response dont l’acronyme a été popularisé par le Gartner permettent d’améliorer l’efficacité du processus de réponse aux incidents en automatisant les phases de détection, de triage et de réaction. Ces outils sont de plus en plus recherchés en complément des SIEM – Security Information and Event Management utilisés par les SOC et des plateformes de CTI . Les outils SOAR sont au programme de la certification CISSP et abordés dans le domaine 7. Le marché des outils SOAR est en forte croissance avec des acteurs comme IBM Resilient, Splunk Phantom, Demisto Palo Alto Networks, Fireye, Logrhythm ou FortiSOAR. Voici quelques exemples de tâches qu’on peut automatiser avec les outils SOAR. Ces tâches sont classées selon les fonctions du référentiel NIST CSF.
Identifier
- Sélection des objets au format STIX (Structured Threat Information Expression) : malware, localisation, rapports…
- Prise en compte des nouvelles vulnérabilités via leur identifiant CVE (Common Vulnerability Enumeration).
- Collecte des indices de compromissions (IoC - Indicator of Compromise).
- Identification des nouvelles règles de détection d’intrusion pour revue avant mise en oeuvre.
Protéger
- Identification des composants nécessitant l’installation de correctifs de sécurité par remontée d’un outil de scans de vulnérabilités.
Détecter
- Traitement des alertes des outils anti-virus et EDR (Endpoint Detection and Response).
- Traitement des courriels potentiellement frauduleux remontés par les utilisateurs.
- Prise en compte des indices de compromission pour déterminer les actions à mener.
Répondre
- Ajout de règles de prévention d’intrusion.
- Blocage de noms de domaines.
- Ajout d’une nouvelle empreinte numérique (hash) à la base d’un EDR pour bloquer l’exécution d’un fichier.
Reprendre
- Résolution d’un conflit généré par un blocage engendré par l’application d’une règle
- Demande de restauration d’un serveur.
Plusieurs référentiels peuvent être utilisés pour définir et mettre en œuvre un processus de réponse aux incidents :
- Série de normes ISO 27035.
- NIST SP 800-61.
Il est également très instructif de lire les référentiels PRIS et PDIS de l’ANSSI définis pour la qualification des prestataires de détection et réponse aux incidents de sécurité.
La norme ISO 27043 fournit des bonnes pratiques pour les inviestigation numériques.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
CISSP, RéférentielNIST, IncidentsSécurité, IncidentResponse, SOC, SOAR, ThreatIntelligence, PDIS, PRIS