Les 5 questions à se poser pour mettre en œuvre une technologie SOAR

Mon équipe de sécurité se sent submergée par la quantité considérable de menaces de sécurité qui se manifestent.

Passer sans cesse d’un écran à un autre n’a rien d’amusant. Investiguer et répondre à une menace prend beaucoup plus de temps parce que je dois consulter 5 à 10 plateformes différentes.

Nous devons trouver un moyen de travailler plus intelligemment, pas plus dur.

Tout cela vous semble familier ?
Les solutions d’orchestration, d’automatisation et de réponse de sécurité (SOAR) deviennent de plus en plus pertinentes pour les équipes de sécurité qui sont confrontées à la pénurie de compétences IT ainsi qu’à une montagne d’alertes de sécurité quotidiennes. De nombreuses équipes utilisent la technologie SOAR pour réduire le temps moyen de réponse, l’épuisement et la rotation des équipes, ainsi que pour harmoniser les opérations de sécurité. Mais quelles questions devez-vous vous poser lors de la mise en œuvre d’une technologie SOAR ?

Les nouveaux clients SOAR sont, à juste titre, demandeurs de directives et d’architectures certifiées, afin d’avoir l’assurance que leur déploiement initial repose sur des fondations solides. Lors du choix d’un SOAR, il faut tenir compte des critères de disponibilité, de performance, d’évolutivité, de sécurité et de coût total d’exploitation.

Avant de commencer, voici cinq grandes questions à vous poser, en concertation avec votre équipe des opérations de sécurité :

1. Avez-vous besoin que votre outil SOAR intègre un plan de récupération en cas de sinistre couvrant plusieurs sites ?
2. Voulez-vous utiliser votre SOAR pour faire de la gestion de cas ?
3. Voulez-vous avoir votre propre infrastructure externe ou utiliser une infrastructure cloud comme Splunk Cloud ?
4. Combien de vos analystes vont utiliser l’outil SOAR simultanément ?
5. Combien d’événements par heure allez-vous envoyer à votre outil SOAR ?

Lors de la préparation de l’implémentation du SOAR, vous allez également devoir examiner les principaux scénarios d’utilisation que votre équipe de sécurité souhaite automatiser afin de déterminer si le SOAR doit être déployé comme un système « headless » ou comme un outil de gestion des cas.

Si votre équipe prévoit d’utiliser l’outil SOAR pour exécuter des procédures de conception simples, avec une automatisation en back-end et peu d’utilisateurs interactifs, un système headless sera certainement la meilleure option. Mais si votre équipe compte utiliser l’automatisation en back-end, tout en utilisant d’autres fonctionnalités de l’interface utilisateur de l’outil SOAR pour interpréter les événements de sécurité entrants, envisagez plutôt un déploiement de système de gestion de cas.

Pour les scénarios de sécurité, nous recommandons généralement un déploiement de gestion de cas, mais comme le SOAR peut être employé pour des scénarios d’utilisation hors du domaine de la sécurité, certains préfèrent un système headless.

Pour en savoir plus sur ce dont vous pouvez avoir besoin pour réussir votre implémentation de SOAR, inscrivez-vous à notre webinaire « Modèles de déploiement et scénarios d’utilisation de Splunk Phantom » par Rob Gresham, Architecte de sécurité globale chez Splunk. 

_{*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}