انواع SOAR

انواع SOAR

در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه می‌شود.

سه دسته اصلی برای SOAR می‌توان در نظر گرفت که عبارتند از:

• SOAR محصول محور
• SOAR گسترده
• Next-Gen SOAR

SOAR محصول محور: گارتنر SOAR را را‌ه‌حلی تعریف می‌کند که توان پاسخ به حوادث، ارکستراسیون، اتوماسیون و مدیریت اطلاعات تهدید را در یک پلتفرم ترکیب کرده است. اما برخی از قابلیت‌های ارکستراسیون و اتوماسیون در فناوری‌های امنیتی دیگر مانند EDR نیز وجود دارد. لذا این نوع از SOAR که همه قابلیت‌های گفته شده رادر یک ابزار مجرد ارائه می‌دهد، محصول محور نامیده می‌شود.

SOAR گسترده: «رویکرد بهترین ابزار(Best-of-breed approach)» یا «بهترین ابزار در دسته» به معنی استفاده از بهترین و کارآمدترین ابزارها یا راهکارهای موجود در هر دسته‌ای از فناوری یا صنعت است. به طور معمول، «رویکرد بهترین ابزار» به این معناست که به جای استفاده از یک راهکار یکپارچه از ابزارهای یک فروشنده، بهتر است از مجموعه‌ای از بهترین ابزارها و راهکارهای موجود در بازار استفاده شود، حتی اگر این ابزارها از فروشندگان مختلف باشند. بدین ترتیب سازمان می‌تواند بر اساس نیازهای خاص خود، بهترین گزینه‌ را انتخاب کند و آنها را با یکدیگر یا با سایر سیستم‌ها و ابزارها ادغام کنند تا یک اکوسیستم امن و کارآمد بسازند.

از این رو، اکثر تیم‌های امنیتی در سازمان و همچنین درMSSP نیازمند SOAR گسترده هستند زیرا از مجموعه متنوعی از ابزارهای امنیتی استفاده می‌کنند. SOAR گسترده اتوماسیون و ارکستراسیون بین صدها ابزار مختلف برقرار کرده و انعطاف‌پذیری و یکپارچگی فراهم می‌کند. حتی به شرکت‌هایی که به تعداد کمی از فروشندگان وابسته هستند، نیز توصیه می‌شود که پلتفرم SOAR گسترده را انتخاب کنند، زیرا این امکان را به آنها می‌دهد که ابزارهای مختلف را به آسانی به یکدیگر متصل کنند.

Next-Gen SOAR: نوع پیشرفته‌تری از SOAR گسترده است که سعی در برطرف کردن نواقص مشاهده شده در پلتفرم‌ قبلی دارد. این نوع از SOAR، مشکلاتی مانند وابستگی به اتصالات و یا کدنویسی پیچیده برای ایجاد و استقرار پلی‌بوک در SOAR را حل می‌کند. همچین امکاناتی مانند اتصال به ابزار سازنده یا سفارشی‌سازی از طریق رابط‌های برنامه نویسی REST را فراهم می‌کند.

به علاوه، ممکن است فروشندگان قابلیت‌های ویژه دیگری نیز به برنامه بیفزایند؛ به عنوان مثال ابزارهایی که برای اتوماسیون پاسخگویی به رویدادهای امنیتی پیچیده کاربرد دارند. و یا از اطلاعات MITRE ATT&CK برای تجزیه و تحلیل، واکنش و جستجوی پیشرفته استفاده می‌کند.