Ottimizzazione e automazione dei processi in un SOAR integrato in SOC distribuiti operanti in contesti eterogenei

Gli attacchi informatici suscitano allarme nella popolazione, causano danni ingenti all’economia e mettono in pericolo la stessa incolumità dei cittadini quando colpiscono infrastrutture critiche della società moderna. La velocità di reazione ad un attacco, nell’ambito della sicurezza informatica, è un fattore fondamentale. Per diminuire il tempo di risposta serve uno strumento capace di coordinare le persone, i processi di sicurezza e le tecnologie; tale orchestratore è il Security Orchestration, Automation and Response (SOAR). Nella trattazione corrente saranno presentate: l’installazione e la configurazione del SOAR Resilient, l’integrazione creata tra questo ed il SIEM QRadar, l’implementazione di funzioni utili per effettuare l’enrichment automatico di un incidente, e lo sviluppo di un flusso di lavoro con lo scopo di guidare gli analisti durante un attacco. Quanto descritto in questa sede va contestualizzato nei processi di riposta interni ad un SOC distribuito ed eterogeneo.