Qu'est-ce que SOAR ?

Gartner définit l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) comme des technologies qui permettent aux organisations de recueillir des informations provenant de diverses sources (principalement à partir de systèmes de gestion des informations et des événements de sécurité [SIEM]) et appliquez des flux de travail alignés sur les processus et les procédures.
‍
Apparus pour la première fois en 2015, les outils SOAR (Security Operations Analytics Resource) ont été conçus pour aider à relever le défi du SIEWF, à savoir la fatigue liée aux alertes et aux événements et la pénurie mondiale de talents dans les opérations de sécurité, afin que les entreprises puissent déployer efficacement une solution SIEM. Leur objectif principal était d'enrichir les données sur les événements en fournissant un contexte supplémentaire pour chaque incident (par exemple, lieu, heure, type), ce qui leur permettrait de mieux identifier les incidents critiques et d'automatiser les réponses à ces événements. L'objectif était d'améliorer la sécurité en accélérant les mesures correctives et en intensifiant les menaces uniquement lorsqu'une intervention humaine était nécessaire.
‍
Les outils SOAR utilisent différents types de données pour aider à identifier les menaces et à prévenir les attaques contre les organisations, ce qui nécessite une intégration avec d'autres outils de sécurité et le recours à des processus manuels tels que la définition de playbooks, des niveaux d'alerte personnalisés et des mesures de réponse aux incidents.

Le maintien de la visibilité sur l'ensemble d'un réseau continue de représenter un défi pour les équipes de sécurité, car l'infrastructure et les applications informatiques modernes ne cessent de croître. En outre, le recours à des solutions de sécurité cloisonnées proposées par les fournisseurs de plateformes SIEM et SOAR peut entraîner des alertes basées sur des informations incomplètes ou mal corrélées, ce qui peut entraîner des perturbations inutiles pour les systèmes et les utilisateurs.

Selon le cabinet d'analyse Gartner, Détection et réponse étendues (XDR) est »un outil SaaS de détection des menaces de sécurité et de réponse aux incidents, spécifique au fournisseur, qui intègre de manière native plusieurs produits de sécurité dans un système d'opérations de sécurité cohérent qui unifie tous les composants sous licence. »
‍
Afin d'améliorer la détection des menaces et le temps de réponse aux incidents, les fournisseurs de solutions de sécurité développent de nouvelles technologies appelées « XDR » (rapports dynamiques étendus). L'objectif de XDR est d'aider les entreprises à détecter les attaques en corrélant leurs données de sécurité et en les alertant lorsqu'une anomalie se produit. XDR combine une gamme d'outils d'investigation et d'analyses comportementales en mettant l'accent sur la détection avancée des menaces et des réponses personnalisées pour une meilleure défense contre la cybercriminalité.
‍
Bien que les outils SIEM de dernière génération puissent offrir des fonctionnalités XDR, ils sont souvent, comme les plateformes SOAR, des modules complémentaires et des plug-ins qui nécessitent une configuration et un réglage. Cependant, XDR ne possède pas les fonctionnalités de journalisation, de conservation et de conformité des SIEM, ce qui signifie qu'il est important d'en trouver un qui s'intègre aux contrôles de sécurité existants ou qui propose une architecture ouverte.
‍
Les entreprises peuvent choisir entre le déploiement de plusieurs ensembles de produits ou une seule suite de produits consolidée pour leurs besoins en matière d'opérations de sécurité. Quelle que soit la voie qu'ils empruntent, ils auront besoin d'une intégration, d'une configuration et d'ajustements pour détecter les incidents de sécurité et y répondre de manière efficace et efficiente.