IBM Resilient SOAR/IRP

System Resilient służy do zarządzania, nadzorowania i automatyzacji procesów związanych z obsługą incydentów. W prosty sposób integruje się z istniejącymi w organizacji systemami bezpieczeństwa oraz systemami zarządzania i obiegu informacji. Dzięki temu każdy wykryty incydent podnosi alarm, który może być w odpowiedni sposób obsługiwany poprzez workflow czynności i akcji które są związane z jego obsługą, a których celem jest minimalizacja skutków potencjalnego ataku.

Kiedy w organizacji zostanie wykryty incydent bezpieczeństwa, oficerowie odpowiedzialni za monitorowanie zagrożeń mogą zainicjować incydent w platformie Resilient poprzez eskalację alertów np. bezpośrednio z systemów SIEM, czy też wykorzystując Resilient’s RESTful API, lub poprzez wysłanie wiadomości e-mail. W momencie kiedy zostanie zgłoszony incydent bezpieczeństwa w zależności od jego klasyfikacji Resilient sugeruje konkretne kroki - tak zwane action plans – które są związane z przyjętymi w organizacji scenariuszami SOP (Standard Operation Plan) czyli planami reakcji na konkretne zagrożenia.

Akcje zdefiniowane w rozwiązaniu krok po kroku wskazują jakie czynności powinny być podjęte aby w pierwszej kolejności wyeliminować trwający atak, zminimalizować jego skutki, ocenić wpływ danego incydentu na funkcjonowanie danej organizacji a na koniec przedsięwziąć czynności które uniemożliwią ponowne wystąpienie danego incydentu. W obecnej chwili w platformie IRP jest zdefiniowanych wiele wzorców oraz sugestii analizy zdarzeń związanych z 18 rożnego rodzaju klasyfikacjami incydentu np. (Atak DDoS, Malware, Insider Threat, kradzież sprzętu itp.).

Dodatkowo platforma Resilient IPR potrafi wzbogacać kontekst każdego z wykrytych incydentów poprzez gromadzenie dodatkowych danych niezbędnych do przeprowadzania skutecznego śledztwa (np. po przez import zdarzeń z systemów bezpieczeństwa, Intelligence Content Feed czy systemów klasy SIEM) oraz zapewnia wspólną platformę do współpracy pomiędzy różnymi pracownikami począwszy od oficerów bezpieczeństwa, administratorów IT odpowiedzialnych za konfigurację i utrzymanie infrastruktury a kończąc na pracownikach odpowiedzialnych za relacje publiczne lub prawnikami.

Platforma Resilient Incident Response Platform może być wyposażona w 3 dedykowane moduły: Security, Action, Privacy
  • Moduł Security umożliwia zarządzanie i obsługiwanie incydentów bezpieczeństwa - w zależności od klasyfikacji zgłoszonego incydentu dobiera odpowiednie procesy rozwiązywania problemu, zapewniając odpowiednie kroki oparte na najlepszych praktykach, uznanych standardach rozwiązywania problemów lub też wewnętrznych planach SOP (Security Operation Plans).
  • Moduł Action umożliwia automatyzację czynności związanych z analizą i rozwiązywaniem incydentów bezpieczeństwa. Dzięki temu mogą być wyeliminowane często powtarzane i czasochłonne czynności, które zwykle są wykonywane przez operatorów bezpieczeństwa w sposób manualny.
  • Moduł Privacy adresuje wyzwania związane z koniecznością potwierdzenia przez organizację zgodności z danym standardem bezpieczeństwa. 

Masz pytania?


passus@passus.com

+48 695 444 803