SOAR (sécurité informatique)
Le SOAR, pour Security Orchestration, Automation and Response, désigne un groupe de technologies de cybersécurité permettant aux organisations de répondre automatiquement à certains incidents. Il recueille les données surveillées par l'équipe SOC, telles que les alertes provenant du système SIEM et d'autres technologies de sécurité, et aide à définir, hiérarchiser et piloter des activités normalisées de réponse aux incidents[1],[2].
Les organisations utilisent les plateformes SOAR pour améliorer l'efficacité des opérations de sécurité physique et numérique[3], ce qui permet aux administrateurs de ne pas répondre manuellement à chaque alerte. Lorsque l'outil réseau détecte un événement de sécurité, le SOAR peut, en fonction de sa nature, envoyer une alerte à l'administrateur ou prendre d'autres mesures[2].
Fonctions
[modifier | modifier le code]L'« orchestration » relie les différents outils et systèmes de sécurité du système d'information. Elle intègre des applications personnalisées avec des outils de sécurité intégrés, de manière à ce qu'elles fonctionnent toutes les unes avec les autres. Elle relie également l'EDR, les pare-feu et les outils d'analyse du comportement[4].
L'« automatisation » prend l'énorme quantité d'informations générées par l'orchestration et l'analyse grâce à des processus d'apprentissage automatique. Le SOAR prend en charge une grande partie des tâches manuelles d'analyse des journaux et peut également gérer les demandes de tickets, les vérifications de vulnérabilité et les processus d'audit[4].
La « réponse aux incidents » permet aux équipes de sécurité de réagir lorsqu'une menace potentielle est signalée. Ce composant gère également les activités post-incident telles que le partage de renseignements sur les menaces de manière automatisée[4].
Playbook et runbook
[modifier | modifier le code]Le SOAR permet aux administrateurs sécurité de définir les incidents potentiels et la réponse à y apporter grâce au playbook et au runbook[2].
Le « playbook » est un document qui décrit comment vérifier un incident de cybersécurité et comment y répondre. L'objectif du playbook est de documenter ce que le runbook doit faire. Il peut servir de sauvegarde manuelle en cas d'échec du SOAR[2].
Le « runbook » met en œuvre les données du playbook dans un outil automatisé afin qu'il effectue des actions prédéfinies pour atténuer la menace[2].
Références
[modifier | modifier le code]- (en) « Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary », sur Gartner (consulté le )
- (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, editions Sybex, (ISBN 978-1-119-78623-8)
- (en) « What is SOAR (Security Orchestration, Automation and Response)? | Definition from TechTarget », sur Security (consulté le )
- (en-US) « The Important Role of SOAR in Cybersecurity », sur Security Intelligence (consulté le )