Verbessern Sie Ihr SOC: SOAR oder Threat-Hunting — oder beides?
Evaluation von SOC Operations zur Einordnung der Rolle von SOAR und Threat-Hunting.
- 1. Aktuelles SOC-Arbeitsmodell
- 2. SOC mit SOAR verbessern
- 3. SANS 6-step IR-Modell ≠ SANS 6-step IR-Modell
- 4. SOC mit Threat-Hunting-Methodik verbessern
- 5. Fazit
Autoren: Rukhsar Khan
Abstract:
Angesichts der Raffinesse und der ständigen Veränderung der Cyber-Bedrohungslandschaft haben viele etablierte Unternehmen erkannt, dass sie die Detection-, Analyse- und Response-Fähigkeiten ihres Security-Operations-Centers (SOC) verbessern müssen. Security-Analysten sind heute jedoch oft mit trivialen Copy-Paste- oder anderen Low-Level-Aufgaben beschäftigt, statt ein tiefes Verständnis des Modus Operandi relevanter Bedrohungsakteure aufzubauen und das Unternehmen auf das Risiko vorzubereiten, das diese darstellen.
Bevor wir die Frage beantworten können, ob eine SOAR-Lösung (Security Orchestration, Automation and Response), die Einführung von Threat-Hunting oder beides der richtige Weg zur SOC-Verbesserung ist, müssen wir zunächst verstehen, wie ein SOC heute tatsächlich arbeitet.