انواع SOAR
در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود.
سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از:
- SOAR محصول محور
- SOAR گسترده
- Next-Gen SOAR
SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به حوادث، ارکستراسیون، اتوماسیون و مدیریت اطلاعات تهدید را در یک پلتفرم ترکیب کرده است. اما برخی از قابلیتهای ارکستراسیون و اتوماسیون در فناوریهای امنیتی دیگر مانند EDR نیز وجود دارد. لذا این نوع از SOAR که همه قابلیتهای گفته شده رادر یک ابزار مجرد ارائه میدهد، محصول محور نامیده میشود.
SOAR گسترده: «رویکرد بهترین ابزار(Best-of-breed approach)» یا «بهترین ابزار در دسته» به معنی استفاده از بهترین و کارآمدترین ابزارها یا راهکارهای موجود در هر دستهای از فناوری یا صنعت است. به طور معمول، «رویکرد بهترین ابزار» به این معناست که به جای استفاده از یک راهکار یکپارچه از ابزارهای یک فروشنده، بهتر است از مجموعهای از بهترین ابزارها و راهکارهای موجود در بازار استفاده شود، حتی اگر این ابزارها از فروشندگان مختلف باشند. بدین ترتیب سازمان میتواند بر اساس نیازهای خاص خود، بهترین گزینه را انتخاب کند و آنها را با یکدیگر یا با سایر سیستمها و ابزارها ادغام کنند تا یک اکوسیستم امن و کارآمد بسازند.
از این رو، اکثر تیمهای امنیتی در سازمان و همچنین درMSSP نیازمند SOAR گسترده هستند زیرا از مجموعه متنوعی از ابزارهای امنیتی استفاده میکنند. SOAR گسترده اتوماسیون و ارکستراسیون بین صدها ابزار مختلف برقرار کرده و انعطافپذیری و یکپارچگی فراهم میکند. حتی به شرکتهایی که به تعداد کمی از فروشندگان وابسته هستند، نیز توصیه میشود که پلتفرم SOAR گسترده را انتخاب کنند، زیرا این امکان را به آنها میدهد که ابزارهای مختلف را به آسانی به یکدیگر متصل کنند.
Next-Gen SOAR: نوع پیشرفتهتری از SOAR گسترده است که سعی در برطرف کردن نواقص مشاهده شده در پلتفرم قبلی دارد. این نوع از SOAR، مشکلاتی مانند وابستگی به اتصالات و یا کدنویسی پیچیده برای ایجاد و استقرار پلیبوک در SOAR را حل میکند. همچین امکاناتی مانند اتصال به ابزار سازنده یا سفارشیسازی از طریق رابطهای برنامه نویسی REST را فراهم میکند.
به علاوه، ممکن است فروشندگان قابلیتهای ویژه دیگری نیز به برنامه بیفزایند؛ به عنوان مثال ابزارهایی که برای اتوماسیون پاسخگویی به رویدادهای امنیتی پیچیده کاربرد دارند. و یا از اطلاعات MITRE ATT&CK برای تجزیه و تحلیل، واکنش و جستجوی پیشرفته استفاده میکند.
