Micro Focus ArcSight SOAR è l’ultimo tassello che si aggiunge alla famiglia di soluzioni software ArcSight, da sempre punto di riferimento per le tecnologie di security operation.
Questa soluzione arriva a seguito della recente acquisizione della società Atar Labs (nata nel 2017) e, fin dal suo esordio, è stata ottimizzata per integrarsi con la famiglia ArcSight e utilizzata in molte delle sue implementazioni.
ArcSight SOAR è, come suggerisce l’acronimo, una piattaforma di Security Orchestration, Automation and Response che aiuta le aziende a migliorare l’efficienza di risposta agli attacchi grazie alla sua capacità di combinare automazione, gestione degli incidenti e capacità di orchestrazione.
In sintesi, le funzioni fondamentali svolte da ArcSight SOAR sono: automazione di processo, controllo centralizzato delle Security Operation da un unico pannello di comando, capacità di indagine e risposta in modo collaborativo, raccolta e misura di tutte le attività legate alla sicurezza.
“Grazie alle sue funzionalità di automazione e orchestrazione ArcSight SOAR aiuta i team di sicurezza a definire le priorità di intervento e a predisporre attività standardizzate di riposta agli incidenti attraverso un unico pannello di controllo centralizzato – osserva Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus -. Il risultato è un modello di sicurezza Zero Trust che aumenta il livello di protezione, accelera la capacità di risposta, aumenta l’efficienza e permette ai professionisti della sicurezza che operano all’interno dei SOC di concentrarsi sulle attività critiche”.
Security Orchestration per automatizzare i compiti ripetitivi
ArcSight SOAR mette a disposizione un motore di automazione programmabile in modo visuale oppure tramite Python, per gestire i diversi tipi di incidenti di sicurezza. Il motore di automazione di ArcSight SOAR permette di definire un numero qualsiasi di scenari di attacco informatico, arbitrariamente complessi, e di eseguire tutti i compiti banali e ripetitivi associati. Riducendo i compiti ripetitivi la soluzione di Micro Focus consente al personale del SOC di concentrarsi sulle attività più importanti.
ArcSight SOAR, attualmente, si integra con oltre 120 diverse infrastrutture e strumenti di sicurezza con la possibilità di interrogare i sistemi per individuare un attacco in corso e intraprendere azioni di blocco.
Il rischio di affidare a una soluzione automatizzata la possibilità di attuare azioni di blocco è controllato grazie alla possibilità di richiedere approvazioni di conferma e stabilire checkpoint prima che siano intraprese azioni critiche.
Attività di analisi più efficienti
ArcSight SOAR mette a disposizione un service desk unificato per la gestione di tutti gli incidenti di sicurezza provenienti da SIEM, altri service desk, moduli Web, applicazioni di terze parti e così via.
Il service desk fornisce un’interfaccia intuitiva e unificata per la gestione dei differenti “use case”, operando come gateway di controllo degli accessi: il personale SOC può così utilizzare tutti gli strumenti di indagine a sua disposizione senza dover effettuare un accesso per ognuno.
ArcSight SOAR consente non solo di ridurre il numero complessivo di membri del personale richiesto, ma rende anche possibile lavorare con un team relativamente meno esperto: controllando con precisione chi può fare cosa e in quali casi, diventa possibile delegare un compito di sicurezza ad analisti meno esperti senza mettere a rischio l’infrastruttura IT dell’impresa.
Inoltre, ArcSight SOAR acquisisce e registra ogni comando e il corrispondente risultato, costruendo una Timeline di tutti gli incidenti registrati che favorisce le operazioni di audit, la gestione delle responsabilità e promuove anche la collaborazione con la possibilità di far lavorare più analisti insieme sul medesimo incidente.
Misurare e monitorare i KPI e le metriche delle Security Operation
ArcSight SOAR registra ogni attività sua e degli analisti e provvede a inoltrare tutti i dati alla piattaforma SIEM per l’organizzazione dei compiti. Attraverso l’analisi di tutti gli eventi vengono costruite moltissime metriche e le operazioni di sicurezza vengono costantemente analizzate.
I dati raccolti consentono di creare dashboard e report dettagliati su ogni singolo incidente, analista o livello di team che aiutano a comprendere e governare meglio le operazioni di sicurezza.
Sono disponibili 50 diversi prospetti (dashlet) per costruire dashboard personalizzate e oltre 20 modelli di report predefiniti per rappresentare gli incidenti, analizzare lo storico, comprendere gli eventi e pianificare le direzioni future.
Difesa integrata con le tecnologie SOAR, SIEM e UEBA di Micro Focus
ArcSight SOAR è nativamente disponibile nella soluzione Micro Focus ESM per la gestione di informazioni ed eventi di sicurezza (SIEM). Attraverso l’ulteriore integrazione con la tecnologia Micro Focus Interset per l’analisi delle anomalie di comportamento (UEBA, sigla di User and Entity Behaviour Analytics) è possibile ottenere il massimo livello di efficienza operativa e sicurezza all’interno del SOC.
L’uso combinato di queste tecnologie permette, infatti, di assegnare automaticamente la priorità a un evento di sicurezza, di gestire istantaneamente la risposta alla compromissione di un account e di fronteggiare efficacemente le situazioni in cui un malware o un cyber criminale cercano di effettuare un trasferimento non autorizzato di dati.
