I. SỰ CẦN THIẾT CỦA SOAR
Trong thời đại Công nghệ thông tin phát triển mạnh mẽ như hiện nay, nhiều tổ chức, doanh nghiệp phải đối mặt nhiều hơn với các mối đe dọa và các rủi ro. Phần mềm phân phối bảo mật liên tục bị “quá tải” với các cảnh báo từ nhiều nguồn khác nhau.
Hầu hết ở các tổ chức và doanh nghiệp, hạ tầng CNTT luôn phát triển mỗi ngày. Trong trường hợp này, các nhân sự thuộc đội bảo mật thường xuyên phải đối mặt với các sự cố 1 cách thủ công, các công cụ an ninh không được hợp nhất với nhau, thao tác rườm rà, hoạt động từ phân rã từ nhiều bộ phận, vận hành không theo quy trình cụ thể, tốn nhiều thời gian phát hiện, quá trình xử lý kéo dài, thiệt hại nặng nề, năng suất bảo mật kém hiệu quả.
II. GIẢI PHÁP VSEC VADAR SECURITY ORCHESTRATION AUTOMATION AND RESPONSE
VSEC Vadar SOAR cho phép thiết lập cấu hình hệ thống, cấu hình quản trị từ xa, cấu hình tài khoản xác thực và phân quyền người dùng, cấu hình tập luật bảo vệ; cho phép thay đổi thời gian hệ thống; quản lý các phiên làm việc, giới hạn phiên kết nối, đăng xuất tài khoản người dùng có phiên kết nối còn hiệu lực.
VSEC Vadar SOAR sử dụng giao thức mã hóa như TLS cho phép quản trị từ xa một cách an toàn.
Hỗ trợ phương thức xác thực bằng tài khoản – mật khẩu, trong đó, quản trị viên có thể thiết lập và thay đổi được độ phức tạp của mật khẩu; phân nhóm tài khoản tối thiểu theo 02 nhóm là quản trị viên và người dùng thường với những quyền hạn cụ thể đối với từng nhóm.
Cho phép quản lý các báo cáo, tạo mới các báo cáo theo template báo cáo, cho phép xuất các báo cáo theo định dạng WORD, EXCEL hoặc PDF và đặt lịch gửi báo cáo định kỳ tới email được cấu hình. Cho phép tạo báo cáo hiệu năng hoạt động của thông qua: thời gian trung bình để xác nhận một sự cố an toàn thông tin, thời gian trung bình để xử lý một sự cố an toàn thông tin kể từ lúc xác nhận; tạo báo cáo hiệu quả công việc của từng người tham gia xử lý cảnh báo thông qua tối thiểu 02 thông số sau: số lượng cảnh báo được xử lý trên mỗi người, số lượng cảnh báo được xử lý đúng hạn trên mỗi người.
Trong trường hợp VSEC Vadar SOAR phải khởi động lại do có lỗi phát sinh (ngoại trừ lỗi phần cứng), VSEC Vadar SOAR đảm bảo dữ liệu log và các loại cấu hình được lưu lại và không bị thay đổi trong lần khởi động kế tiếp. Đồng thời cũng đảm bảo thời gian hệ thống được đồng bộ tự động đến thời điểm hiện tại
VSEC Vadar SOAR ghi nhận các log cảnh báo sinh ra bởi việc thực thi tập luật bảo vệ và các log audit hệ thống trong quá trình người dùng sử dụng hệ thống. Cho phép chuẩn hóa log theo định dạng JSON để truyền dữ liệu log cho các phần mềm quản lý, phân tích, điều tra log.
Quản lý log: VSEC Vadar SOAR cho phép thiết lập và cấu hình các cài đặt liên quan đến lưu trữ và hủy bỏ log. Cho phép phân nhóm log thành các nhóm sự kiện theo các tiêu chí khác nhau. Cho phép truy xuất dữ liệu thô của log thông qua kết quả tìm kiếm và cảnh báo. Cho phép xuất dữ liệu log ra để phục vụ cho việc tích hợp các dữ liệu này vào SIEM hoặc giải pháp khác về quản lý, phân tích, điều tra log.
Hiệu năng xử lý
- Độ trễ thời gian phản hồi các yêu cầu truy vấn dữ liệu: VSEC Vadar SOAR đảm bảo rằng độ trễ thời gian tìm kiếm log, cảnh báo và tình huống với độ phức tạp bất kỳ, có phản hồi trong khoảng thời gian tối đa là 01 phút.
- Thu thập đồng thời nhiều cảnh báo: VSEC Vadar SOAR cho phép thu thập, xử lý và lưu trữ dữ liệu đồng thời 100 cảnh báo trong khoảng thời gian là 01 phút.
Tích hợp và tự động hóa
- VSEC Vadar SOAR cho phép tạo mới, xem lại, cập nhật và xóa thành phần tích hợp đã được tạo; cho phép phát triển thành phần tích hợp thông qua tối thiểu 01 ngôn ngữ lập trình dạng thông dịch (ví dụ: Python, Javascript,…).
- VSEC Vadar SOAR cho phép kết nối và tương tác với các nền tảng khác như VSEC Vadar SIEM, VSEC TI Engine, VSEC Vadar EDR, hệ thống phân tích mã độc, hệ thống quản lý các yêu cầu cần giải quyết
- VSEC Vadar SOAR cho phép thiết lập cấu hình một hoặc nhiều API trên các thành phần tích hợp để ứng dụng nhiều nhất có thể các chức năng, tính năng mà nền tảng tích hợp cung cấp.
- VSEC Vadar SOAR hỗ trợ tích hợp API 2 chiều giúp vấn dữ liệu từ nền tảng tích hợp để làm giàu thông tin cho các dữ liệu được xử lý và lưu trữ trên VSEC Vadar SOAR; thực thi lệnh tác động đến nền tảng tích hợp để thực hiện việc ứng phó sự kiện, cố an toàn thông tin.
- Cho phép xây dựng các kịch bản phản ứng thông qua các thao tác: thêm, xem lại, cập nhật xóa, xuất kịch bản
- Hỗ trợ thực hiện các kịch bản phản ứng tự động, bán tự động
III. ƯU ĐIỂM NỔI BẬT
Hợp lý hóa và chuẩn hóa các quy trình, thiết lập tự động hóa và điều phối, hoặc tận dụng sức mạnh của các nền tảng cao cấp (ví dụ MITRE ATT & CK, …)
Phối hợp với bảo mật, tự động hóa và phản hồi được tích hợp đầy đủ. Khả năng quản lý theo từng sự cố mạng, và hỗ trợ công cụ tạo chuỗi làm việc hiệu quả cho quản trị viên.
Hỗ trợ đo lường và báo cáo thời gian phát hiện, thời gian phản ứng, thời gian xác nhận và thời gian điều tra.
Khả năng quản lý sự cố tập trung, cập nhật theo thời gian thực các trạng thái của sự cố đang tức thời diễn ra trong phần mềm.ho phép cấu hình kịch bản dựa theo các điều kiện, quy tắc