{"id":31823,"date":"2022-07-27T12:11:50","date_gmt":"2022-07-27T10:11:50","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=31823"},"modified":"2023-03-30T12:20:10","modified_gmt":"2023-03-30T10:20:10","slug":"wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/","title":{"rendered":"Wie SOAR die Effizienz und Effektivit\u00e4t der Analyse- und Incident Response-Prozesse steigert"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#Was_ist_ein_SOAR\" >Was ist ein SOAR?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#Was_erreiche_ich_mit_SOAR\" >Was erreiche ich mit SOAR?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#Beispiel_fuer_den_Einsatz_von_SOAR\" >Beispiel f\u00fcr den Einsatz von SOAR<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#Wo_sind_die_Grenzen_von_SOAR\" >Wo sind die Grenzen von SOAR?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#SOAR_und_SIEM_%E2%80%93_Ein_Dreamteam\" >SOAR und SIEM \u2013 Ein Dreamteam?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-soar-die-effizienz-und-effektivitaet-der-analyse-und-incident-response-prozesse-steigert\/#SECUINFRA_und_SOAR\" >SECUINFRA und SOAR<\/a><\/li><\/ul><\/nav><\/div>\n<p>SOAR hilft Security Analysten w\u00e4hrend der Vorfallanalyse und innerhalb des Incident Response Prozesses, sich auf die wichtigen Informationen und Ereignisse zu konzentrieren und potenzielle IT Security-Vorf\u00e4lle zielgerichtet abzuwenden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_ein_SOAR\"><\/span>Was ist ein SOAR?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Security Orchestration, Automation and Response (SOAR) Systeme bieten eine Plattform, um eingehende Alarme verschiedener IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten.<\/strong> Dazu vereinen sie alle im Unternehmen relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Weiter bieten die Tools die M\u00f6glichkeit, automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzma\u00dfnahmen einzuleiten. Ein SOAR unterst\u00fctzt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.<\/p>\n<h3>Orchestration<\/h3>\n<p>An ein SOAR sind alle Systeme angebunden, die einen potenziellen IT-Sicherheitsvorfall initial erkennen, weitere Informationen zur Beurteilung liefern oder Schutzma\u00dfnahmen einleiten k\u00f6nnen. Konkret handelt es sich dabei um die Anbindungen des unternehmensinternen SIEM-Systems, EDR (Endpoint Detection &amp; Response) oder einer Pishing-Detection. Weiter z\u00e4hlen als wichtige interne Datenquellen das Active Directory, CMDB (Configuration Management Database) und Netzwerkinformationen aus NDR-Systemen. Als externe Datenquellen unterst\u00fctzen die Anbindung an Threat Intelligence-Informationen oder die Datei-Analyse mit weiteren Informationen. Tool-Integrationen f\u00fcr die Einleitung von situationsabh\u00e4ngigen Schutzma\u00dfnahmen runden die angebundenen Komponenten an das System ab.<\/p>\n<h3>Automation<\/h3>\n<p>Die Hauptaufgabe eines SOAR besteht darin, alle eingehenden Alarme der verschiedenen Datenquellen automatisiert mit weiteren Informationen anzureichern und gegebenenfalls reaktive Ma\u00dfnahmen zu ergreifen. Dazu wird jeder Alarm durch ein Alarm-spezifisches Playbook verarbeitet, welches mit den angebundenen Tools interagiert und somit den Analysten bei seiner Arbeit unterst\u00fctzt. Weiter werden eingehende Alarme automatisiert de-dupliziert oder Case-bezogen zusammengefasst, was die \u00dcbersicht erleichtert.<\/p>\n<h3>Response<\/h3>\n<p>Im Bereich der Response bietet ein SOAR durch angebundene Komponenten wie Firewalls, EDR-Systeme oder Active Directory eine schnelle und automatisierte Reaktion auf eingehende Alarmmeldungen. Dabei kann durch die erstellten Playbooks gesteuert werden, ob eine Aktion zur Blockierung einer IP-Adresse oder Isolation eines Hosts mit oder ohne Freigabe durch einen Security Analysten initiiert wird.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_erreiche_ich_mit_SOAR\"><\/span>Was erreiche ich mit SOAR?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorf\u00e4llen im Rahmen des Incident Response Prozesses.<\/strong> Dazu vereint es auf einer Plattform alle im Unternehmen eingesetzten Security Tools, kombiniert die vorliegenden Informationen, unterst\u00fctzt die Zusammenarbeit mehrerer Analysten an einem Case und dient zur Dokumentation vergangener Ereignisse.<\/p>\n<p>SOAR Systeme bieten in der Regel f\u00fcr alle g\u00e4ngigen Security Tools passende Integrationen an, um diese einfach mit der Plattform zu verbinden. \u00dcber das SOAR k\u00f6nnen anschlie\u00dfend alle Integrationen automatisiert \u00fcber Playbooks oder manuell durch den Analysten gesteuert und passende Aktionen ausgel\u00f6st werden. Sollte eine Integration f\u00fcr ein Tool nicht vorhanden sein, besteht i.d.R. die M\u00f6glichkeit, eigene Anbindungen zu entwickeln.<\/p>\n<p><strong>Security Analysten erstellen f\u00fcr unterschiedliche Bedrohungs-Szenarien Playbooks, die die Analysearbeit innerhalb des Incident Response Prozesses unterst\u00fctzen.<\/strong> Dabei liegt der Fokus zum einen auf der Anreicherung des initialen Alarms mit weiteren Informationen aus verschiedenen Systemen wie EDR oder SIEM sowie der automatischen Reaktion auf das vorliegende Ereignis. Weiter dient ein Playbook dem Analysten als Vorgabe der einzelnen Arbeitsschritte im Rahmen eines Runbooks sowie der gleichzeitigen Dokumentation des Vorfalls. Dadurch ist die Reproduzierbarkeit und Qualit\u00e4t der Analysearbeit auch bei wechselnden Security Analysten oder bei Arbeiten im Team gesichert.<\/p>\n<p>Zur Dokumentation eines Alarms sowie zur \u00dcbersicht verschiedener Cases stellt ein SOAR verschiedene, auf die eigenen Bed\u00fcrfnisse anpassbare Dashboards und Reports bereit. Diese unterst\u00fctzen Security Analysten neben konkreten Analyse-T\u00e4tigkeiten auch bei der Dokumentation verschiedener Alarme oder der sp\u00e4teren Korrelation unterschiedlicher Ereignisse und Indicators of Compromise.<\/p>\n<p>Weiter bieten die SOAR-L\u00f6sungen durch ein<strong> Benutzer- und Rechte-Management<\/strong> die M\u00f6glichkeit der Zusammenarbeit mehrerer Personen und Teams innerhalb eines Alarms sowie eine Eskalation des Falls zu weiteren verantwortlichen Mitarbeitern. SOAR unterst\u00fctzt auch bei der Einhaltung von definierten SLAs (Service Level Agreements) und der Einbindung beteiligter Dritter innerhalb des Incident Response Prozesses.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Beispiel_fuer_den_Einsatz_von_SOAR\"><\/span><strong>Beispiel f\u00fcr den Einsatz von SOAR<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\" wp-image-31826\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/beispiel-einsatz-soar.jpg\" alt=\"\" width=\"522\" height=\"361\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/beispiel-einsatz-soar.jpg 711w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/beispiel-einsatz-soar-300x208.jpg 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/beispiel-einsatz-soar-24x17.jpg 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/beispiel-einsatz-soar-36x25.jpg 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/beispiel-einsatz-soar-48x33.jpg 48w\" sizes=\"(max-width: 522px) 100vw, 522px\" \/><\/p>\n<p><strong>Als Beispielszenario k\u00f6nnte das SOAR einen Bruteforce-Alarm \u00fcber ein angebundenes SIEM System erhalten.<\/strong><\/p>\n<p>Der Alarm wurde durch einen Benutzer ausgel\u00f6st, der sich in kurzer Zeit mehrmals mit einem Account der unternehmensinternen Domain an einem Client falsch authentifiziert hat.<\/p>\n<ul>\n<li>Nach <strong>Eingang des Alarms<\/strong> in das SOAR startet dieses automatisch das dazugeh\u00f6rige Playbook. Das Tool erg\u00e4nzt zun\u00e4chst die vorliegenden Informationen des Alarms mit weiteren Eigenschaften des betroffenen Benutzeraccounts \u00fcber das angebundene Active Directory.<\/li>\n<li>Es erfolgt die <strong>\u00dcberpr\u00fcfung mithilfe der vorliegenden Log-Daten des SIEM<\/strong>, ob es nach den fehlerhaften Anmeldeversuchen einen erfolgreichen Login des Benutzers gab. Dazu werden zu der Quell-IP-Adresse der Login-Versuche weitere Attribute wie die Unterscheidung zwischen privater und \u00f6ffentlicher IP oder dessen Standort ermittelt. Auch kann das Playbook den vorliegenden Alarm mit \u00e4hnlichen Alarmen aus der Vergangenheit korrelieren.<\/li>\n<li>Alle gesammelten Informationen werden dem Analysten anschlie\u00dfend \u00fcber <strong>Dashboards<\/strong> \u00fcbersichtlich zur Verf\u00fcgung gestellt.<\/li>\n<li>In einem weiteren Schritt kann das laufende Playbook automatisch den betroffenen Nutzer \u00fcber eine versendete E-Mail kontaktieren und erfragen, ob die <strong>Anmeldeversuche<\/strong> von diesem ausgel\u00f6st wurden oder weitere Hinweise vorliegen. Auch diese Inhalte stehen dem Analysten zur weiteren Beurteilung zur Verf\u00fcgung.<\/li>\n<li>Anschlie\u00dfend wechselt das Playbook in die<strong> Phase der Remediation <\/strong>und f\u00fchrt basierend auf den zuvor gesammelten Informationen entsprechende Ma\u00dfnahmen durch. Dies kann zum Beispiel die Isolation des Hosts \u00fcber ein angebundenes EDR-System oder die Deaktivierung des betroffenen Benutzer-Accounts innerhalb des Active Directory sein. Auch besteht die M\u00f6glichkeit, bei Bedarf das Password des Accounts zur\u00fcckzusetzen und den Benutzer \u00fcber diesen Schritt zu informieren. Dabei kann der Security Analyst &#8211; je nach Playbook Design &#8211; entscheiden, ob die angesprochenen Ma\u00dfnahmen automatisch oder erst nach einer manuellen Freigabe erfolgen sollen.<\/li>\n<li>Weiterhin besteht nach der Durchf\u00fchrung der Schutzma\u00dfnahmen auch die M\u00f6glichkeit, diese im Falle eines False Positives wieder automatisch zur\u00fcckzunehmen.<\/li>\n<li>Parallel zu den Vorg\u00e4ngen erstellt das SOAR eine Dokumentation des Ereignisses.<\/li>\n<li><strong>Zus\u00e4tzlich kann das Ereignis auch in angebundenen Komponenten wie beispielsweise einem Ticket-System reflektiert werden.<\/strong><\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Wo_sind_die_Grenzen_von_SOAR\"><\/span>Wo sind die Grenzen von SOAR?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Je nach Hersteller des SOAR sind die M\u00f6glichkeiten der oben beschriebenen Funktionen unterschiedlich ausgepr\u00e4gt. Dazu z\u00e4hlt zum einen die Auswahl der m\u00f6glichen Integrationen verschiedener Security Tools. Auch die F\u00e4higkeiten der Daten-Konvertierung und Anpassung bei Dateneingang oder w\u00e4hrend der Verarbeitung innerhalb eines Playbooks geh\u00f6ren dazu. Weiter variieren der Funktionsumfang des Playbook-Editors, die M\u00f6glichkeiten der Darstellung der Alarminformationen sowie der Funktionsumfang des Reportings bei der Auswahl der passenden SOAR Software.<\/p>\n<p>Auch ist zu beachten, dass ein SOAR die Arbeit von Security Analysten nicht ersetzt, sondern diese gezielt unterst\u00fctzt. Dazu z\u00e4hlt vor allem die Automatisierung wiederkehrender Aufgaben eines Alarmtyps oder die erleichterte Steuerung spezifischer Ma\u00dfnahmen. Des Weiteren hilft auch die Zusammenf\u00fchrung aller Security-relevanten Systeme, Informationen und Personen auf einer Plattform, eine effiziente Arbeitsweise umzusetzen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"SOAR_und_SIEM_%E2%80%93_Ein_Dreamteam\"><\/span>SOAR und SIEM \u2013 Ein Dreamteam?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Wie bereits angesprochen, steht ein SOAR nicht in Konkurrenz zu einem vorhandenem SIEM System, sondern steigert die Effizienz der Security Prozesse.<\/p>\n<p>Ein SIEM-System ist f\u00fcr die initiale Erkennung potenzieller Security-Vorf\u00e4lle zust\u00e4ndig. Dazu aggregiert und korreliert es alle im Unternehmen vorliegenden Security-relevanten Log-Informationen von Clients, Servern oder Netzwerkkomponenten. Mithilfe von implementierten Erkennungs-Regeln (sog. Use Cases) werden die eingehenden Informationen untersucht und etwaige Bedrohungen identifiziert. Nach dem initialen Alarm des SIEM-Systems ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gef\u00e4hrdung f\u00fcr das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es weiter notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzma\u00dfnahmen zu ergreifen.<\/p>\n<p><strong>Bei allen Arbeitsschritten nach dem initialen Alarm unterst\u00fctzt ein SOAR den Security Analysten bei seiner Arbeit.<\/strong> Dazu z\u00e4hlen die Automatisierung wiederkehrender Analyseschritte, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgef\u00fchrten Schritte und deren Ergebnisse. Durch die Kombination aus SIEM und SOAR wird der Security Prozess innerhalb des Unternehmens nachhaltig beschleunigt, die Reproduzierbarkeit und Qualit\u00e4t der Analysearbeit gest\u00e4rkt sowie die Dokumentation verschiedener Ereignisse vereinheitlicht.<\/p>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"SECUINFRA_und_SOAR\"><\/span>SECUINFRA und SOAR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>SOAR-Systeme helfen Security Analysten w\u00e4hrend der Vorfallanalyse und innerhalb des Incident Response Prozesses, sich auf die wichtigen Informationen und Ereignisse zu konzentrieren und potenzielle IT-Security Vorf\u00e4lle zielgerichtet abzuwenden.<\/strong><\/p>\n<p>SECUINFRA hat in den vergangenen Jahren Fachwissen f\u00fcr SOAR-L\u00f6sungen zahlreicher Hersteller aufgebaut. In Verbindung mit der Expertise beim Aufbau und Betrieb von SIEM-Systemen und ihren langj\u00e4hrigen Erfahrungen im Bereich der Incident Response unterst\u00fctzen unsere Cyber Defense Consultants Sie beim Aufbau, der Entwicklung und im Betrieb von SOAR-Systemen. Auch bietet SECUINFRA Ihnen im Rahmen von <a href=\"https:\/\/testing.secuinfra.com\/services\/co-managed-siem\/\">Co-Managed und Managed L\u00f6sungen<\/a> die langfristige Zusammenarbeit zum umfassenden Schutz Ihrer IT-Infrastruktur an.<\/p>\n<p><a href=\"https:\/\/testing.secuinfra.com\/contact\/\"><strong>Kontaktieren Sie unser SIEM Expertenteam f\u00fcr weiterf\u00fchrende Informationen und Beratung!\u00a0<\/strong><\/a><\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>SOAR hilft Security Analysten, sich auf die wichtigen Informationen und Ereignisse zu konzentrieren und potenzielle IT Security-Vorf\u00e4lle zielgerichtet abzuwenden.<\/p>\n","protected":false},"author":15,"featured_media":31824,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[67,278,66],"tags":[],"dpc_coauthors":[],"class_list":["post-31823","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-siem","category-soar","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/31823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=31823"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/31823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/31824"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=31823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=31823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=31823"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=31823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}