{"id":37692,"date":"2023-03-09T12:13:09","date_gmt":"2023-03-09T11:13:09","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=37692"},"modified":"2023-03-31T08:33:02","modified_gmt":"2023-03-31T06:33:02","slug":"welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/","title":{"rendered":"Welche Vorteile bietet SOAR? Die 5 wichtigsten FAQ zu Security Orchestration Automation &#038; Response!"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/#Was_ist_SOAR_und_wozu_brauche_ich_es\" >Was ist SOAR und wozu brauche ich es?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/#Welche_Vorteile_bietet_SOAR\" >Welche Vorteile bietet SOAR?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/#Ersetzt_ein_SOAR_unsere_Security_Analysten\" >Ersetzt ein SOAR unsere Security Analysten?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/#Kann_SOAR_unser_SIEM_ersetzen\" >Kann SOAR unser SIEM ersetzen?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/welche-vorteile-bietet-soar-die-5-wichtigsten-faq-zu-security-orchestration\/#Unsere_SOAR-Loesung_funktioniert_nicht_zufriedenstellend_Wie_koennen_Sie_mir_weiterhelfen\" >Unsere SOAR-L\u00f6sung funktioniert nicht zufriedenstellend. Wie k\u00f6nnen Sie mir weiterhelfen?<\/a><\/li><\/ul><\/nav><\/div>\n<p>IT Security Teams m\u00fcssen h\u00e4ufig zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzud\u00e4mmen. Denn jede Alarmmeldung der jeweiligen Software muss \u00fcberwacht, analysiert und interpretiert werden. Aufgrund begrenzter Ressourcen und dem Mangel an verf\u00fcgbaren Fachkr\u00e4ften besteht f\u00fcr viele Unternehmen die besondere Herausforderung, mit dieser Entwicklung Schritt zu halten. Aus diesem Grund hat die Weiterentwicklung von Security Orchestration, Automation and Response (SOAR) deutlich an Fahrt aufgenommen.<\/p>\n<p>Aber welche Vorteile bieten SOAR-L\u00f6sungen eigentlich konkret und was erreichen Unternehmen damit? <strong>Wir geben nachfolgend Antworten auf die 5 meist gestellten Fragen zum Thema SOAR!<\/strong>\u00a0<strong>\u00a0<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_SOAR_und_wozu_brauche_ich_es\"><\/span><strong>Was ist SOAR und wozu brauche ich es? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Security Orchestration, Automation and Response (SOAR)- Systeme bieten eine Plattform, um eingehende Alarme unterschiedlicher IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten.\u00a0Dazu vereinen sie alle relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. <strong>F\u00fcr den initialen Alarm beziehen SOAR-Systeme Informationen aus einem SIEM-, EDR- oder NDR-System.<\/strong> Auch die Anbindung eines E-Mail-Postfachs zur Phishing Analyse ist denkbar. Der Alarm wird zur weiteren Kontextualisierung mit \u00f6ffentlichen Threat Intelligence Informationen, Ergebnissen von Datei-Analyse-Tools oder internen Datenbanken angereichert. Weiter bietet SOAR die M\u00f6glichkeit, \u00fcber die angebundenen Systeme automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzma\u00dfnahmen einzuleiten. Dazu z\u00e4hlt zum Beispiel das Deaktivieren von Benutzerkonten, das Isolieren von betroffenen Hosts oder die automatische Erstellung von Domain-Block-Listen. Ein SOAR unterst\u00fctzt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.<\/p>\n<p><strong>Zur automatischen Verarbeitung der Alarme kommen innerhalb des SOAR-Systems Playbooks zum Einsatz.<\/strong> Diese beinhalten, bezogen auf den jeweiligen Anwendungsfall, einen definierten Ablauf zur Informationssammlung, Analyse und Reaktion. Dabei k\u00f6nnen Playbooks auf unterschiedliche Ergebnisse innerhalb des Analyseprozesses reagieren und entsprechende Handlungsschritte einleiten.<\/p>\n<p>Playbook sind mit dem Aufbau eines Runbooks zur Analyse vergleichbar, arbeiten die erforderlichen Schritte jedoch automatisiert ab.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Welche_Vorteile_bietet_SOAR\"><\/span><strong>Welche Vorteile bietet SOAR?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorf\u00e4llen im Rahmen des Incident Response Prozesses.\u00a0Konkret hilft das SOAR Security Analysten durch die automatische (Vor-) Verarbeitung von Informationen und Alarmen. Dazu vereint es auf einer Plattform alle eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterst\u00fctzt die Zusammenarbeit mehrerer Analysten an einem Case. Somit k\u00f6nnen Security Analysten effizienter arbeiten und potenzielle Sch\u00e4den zielgerichtet abwenden. Auch dient das SOAR zur Dokumentation vergangener Ereignisse.<\/p>\n<p><strong>Zusammengefasst erreichen Sie mit einem SOAR: <\/strong><\/p>\n<ul>\n<li>Zentrale Anbindung aller Security Tools<\/li>\n<li>Automatische (Vor-) Verarbeitung eingehender Security Alarme<\/li>\n<li>Darstellung aller relevanten Informationen auf einen Blick<\/li>\n<li>Einfache Zusammenarbeit zwischen Analysten und Cases<\/li>\n<li>Automatische Reaktion bei best\u00e4tigten Vorf\u00e4llen<\/li>\n<li>Kontinuierliche Dokumentation aller Ereignisse<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Ersetzt_ein_SOAR_unsere_Security_Analysten\"><\/span><strong>Ersetzt ein SOAR unsere Security Analysten?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>Das SOAR-System unterst\u00fctzt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten.<\/strong> Ein SOAR-System automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps und reagiert mit spezifischen Ma\u00dfnahmen auf Bedrohungen.<\/p>\n<p>Auch vereint es f\u00fcr eine zentrale Steuerung alle Security relevanten System im Unternehmen auf einer Plattform und bietet eine \u00dcbersicht f\u00fcr alle Security Analysten.<\/p>\n<p>SOAR-Systeme verfolgen das Ziel, die Arbeit von Security Analysten durch automatisierte Verarbeitungsschritte zu unterst\u00fctzen sowie erste Schutzma\u00dfnahmen einzuleiten. Die abschlie\u00dfende Beurteilung eines Alarms obliegt weiterhin dem Analysten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Kann_SOAR_unser_SIEM_ersetzen\"><\/span><strong>Kann SOAR unser SIEM ersetzen? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><strong>NEIN. <\/strong>Ein SIEM-System ist f\u00fcr die initiale Erkennung potenzieller Security-Vorf\u00e4lle zust\u00e4ndig. Hierf\u00fcr sammelt es zun\u00e4chst aus unterschiedlichen Quellen Daten ein und analysiert diese mittels Use-Cases in Echtzeit. Werden Auff\u00e4lligkeiten erkannt, alarmiert das SIEM. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gef\u00e4hrdung f\u00fcr das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzma\u00dfnahmen, wie die Isolierung eines Hosts oder die Sperrung von Benutzerkonten, zu veranlassen.<\/p>\n<p><strong>Bei allen Arbeitsschritten nach dem initialen Alarm unterst\u00fctzt ein SOAR den Security Analysten bei seiner Arbeit.<\/strong>\u00a0Dazu z\u00e4hlen die Automatisierung wiederkehrender Analyseschritte, das Einleiten von ersten Schutzma\u00dfnahmen, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgef\u00fchrten Schritte und deren Ergebnisse.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Unsere_SOAR-Loesung_funktioniert_nicht_zufriedenstellend_Wie_koennen_Sie_mir_weiterhelfen\"><\/span><strong>Unsere SOAR-L\u00f6sung funktioniert nicht zufriedenstellend. Wie k\u00f6nnen Sie mir weiterhelfen?<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Immer mehr Unternehmen m\u00f6chten ihren Security Prozess durch ein SOAR verbessern \u2013 was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unm\u00f6glich wird. Durch SECUINFRA erhalten Sie die M\u00f6glichkeit,\u00a0<strong>Ihr individuelles SOAR nach Baukastenprinzip<\/strong>\u00a0zu realisieren. Dazu planen unsere Experten zusammen mit Ihnen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen.<\/p>\n<p>Die Betreuung eines SOAR-Systems ist dabei keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, um auf die stetig ver\u00e4nderte Bedrohungslage bestm\u00f6glich zu reagieren.<\/p>\n<div class=\"fazit\"><\/p>\n<p><strong>Sie m\u00f6chten Ihren Security Prozess durch ein SOAR verbessern oder Ihre bestehende L\u00f6sung optimieren?<\/strong><\/p>\n<p>Unsere Cyber Defense Experten unterst\u00fctzen Sie dabei! <a href=\"https:\/\/testing.secuinfra.com\/contact\/\">Kontaktieren Sie uns<\/a> oder rufen Sie uns an: +49 30 5557021 11<\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Welche Vorteile bieten SOAR-L\u00f6sungen eigentlich konkret und was erreichen Unternehmen damit? Wir geben nachfolgend Antworten auf die 5 meist gestellten Fragen zum Thema SOAR!\u00a0\u00a0<\/p>\n","protected":false},"author":15,"featured_media":37707,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[250,278,66],"tags":[],"dpc_coauthors":[],"class_list":["post-37692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-detection-response","category-soar","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/37692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=37692"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/37692\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/37707"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=37692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=37692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=37692"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=37692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}