Sommaire

Comment déployer l'automatisation SecOps ?

Sommaire

Pour déployer efficacement l'automatisation SecOps, il convient de suivre les étapes suivantes afin d'assurer une intégration harmonieuse et réussie de l'orchestration, de l'automatisation et de la réponse en matière de sécurité (SOAR) dans vos opérations existantes :

  1. Évaluez votre position actuelle en matière de sécurité
  2. Définir les objectifs et les exigences
  3. Choisir la bonne plate-forme SOAR
  4. Plan d'intégration
  5. Élaborer et tester des livres de jeu
  6. Formez votre équipe SecOps
  7. Déployer progressivement et surveiller
  8. Mesurer et optimiser
  9. Mise en place d'une maintenance et de mises à jour permanentes

 

Se préparer à l'automatisation de la SecOps

Lorsque vous vous préparez à l'automatisation SecOps, il est essentiel de prendre en compte les étapes suivantes qui peuvent aider à optimiser la transition vers l'automatisation pour vous et votre organisation :

Étape 1 : Comprendre les politiques et les processus existants

L'évaluation de vos politiques et processus actuels est essentielle pour identifier les domaines qui peuvent être rationalisés grâce à l'automatisation. Il s'agit notamment de comprendre comment les incidents sont actuellement traités et quelles sont les étapes manuelles du processus.

Étape 2 : Identifier les outils et plateformes quotidiens

Faites le point sur les outils et les plateformes que votre équipe utilise quotidiennement. Il est essentiel de comprendre le paysage technologique existant et les sources de données pour identifier les points d'intégration potentiels et les domaines dans lesquels l'automatisation peut avoir le plus grand impact.

Étape 3 : Déterminer les principales parties prenantes pour la résolution des incidents

Clarifiez qui doit être impliqué dans la résolution des incidents de sécurité. Il peut s'agir de l'équipe de sécurité et d'autres parties prenantes concernées au sein de l'organisation.

Étape 4 : Normaliser et rendre les processus reproductibles

Envisagez de normaliser vos processus pour vous assurer qu'ils sont reproductibles et cohérents. Il s'agit d'identifier les domaines dans lesquels l'automatisation peut apporter cohérence et fiabilité aux opérations de sécurité.

Étape 5 : Établir des politiques et des procédures pour l'attribution des incidents

Comment pouvez-vous normaliser vos processus afin qu'ils soient reproductibles et cohérents ?

Quelles sont vos politiques et procédures en matière d'affectation des incidents ?

Comment communiquez-vous les incidents en interne ?

Évaluer la façon dont les incidents sont communiqués en interne

Il est essentiel d'évaluer la manière dont les incidents sont communiqués en interne. L'automatisation des processus de communication peut contribuer à rationaliser la diffusion de l'information et à améliorer les délais de réponse.

Analyser les flux de travail

  • Évaluez si un expert est nécessaire pour interpréter ou trier les données et comment l'automatisation peut soutenir ou augmenter ces tâches.
  • Identifiez les tâches du flux de travail qui sont reproductibles et standardisables, car ce sont des candidats de choix pour l'automatisation.
  • Déterminez si l'automatisation d'un flux de travail spécifique accélérera considérablement la réponse aux incidents et comment cela s'aligne sur les objectifs de l'organisation.
  • Réfléchissez à la nécessité d'une intervention humaine pour tester les flux de travail automatisés et au niveau d'implication nécessaire pendant la phase de mise en œuvre.

TIP : Il est important de définir clairement le champ d'application afin de faciliter l'affectation des ressources, de déterminer les compétences nécessaires et de veiller à ce que l'équipe reçoive une formation adéquate pour l'initiative d'automatisation.

 

Commencez par des tâches simples à fort impact

Pour commencer le parcours d'automatisation, les organisations devraient se concentrer sur les tâches qui offrent une valeur significative et qui sont simples à automatiser. Il est préférable de commencer par des tâches répétitives telles que la collecte d'informations, la génération de rapports de bac à sable, l'envoi de communications aux utilisateurs, l'exécution de requêtes à l'aide de divers outils et la coordination avec d'autres équipes. L'attribution d'un responsable à chaque tâche garantit la responsabilisation et des progrès réguliers.

Les organisations doivent prendre en compte les éléments suivants :

  • Y a-t-il des tâches qui prennent beaucoup de temps dans le cadre d'un flux de travail plus large ?
  • Certaines tâches risquent-elles de perturber les opérations si elles sont négligées ?

Il est essentiel de donner la priorité à l'automatisation de ces petites tâches à fort impact avant d'essayer d'automatiser un flux de travail du début à la fin.

Pour ceux qui n'ont pas d'expertise en matière de codage, il est conseillé de commencer par des playbooks et des intégrations préconstruits. Des solutions comme Cortex XSOAR offrent un large éventail de playbooks prêts à l'emploi qui couvrent les cas d'utilisation quotidiens. Son éditeur visuel facilite la personnalisation de ces playbooks sans codage. Les éléments constitutifs tels que l'enrichissement des entités, le blocage des indicateurs et les playbooks de chasse peuvent être réutilisés dans plusieurs scénarios, ce qui permet d'apporter rapidement de la valeur ajoutée aux opérations de sécurité.

Qu'est-ce qui freine l'automatisation de la sécurité ?
50 % des personnes interrogées hésitent parce qu'elles ne savent pas par où commencer. Le manque de budget et de compétences a été un obstacle à l'automatisation pour 21% d'entre eux. 14 % déclarent que la direction ne comprend pas le besoin, et 29 % disent qu'ils se débrouillent bien avec les processus actuels.

L'automatisation de la cybersécurité

Adoptez une approche progressive - la méthode "crawl-walk-run" - pour renforcer progressivement la confiance dans l'automatisation de la cybersécurité. Commencez par des tâches de base et automatisez progressivement des processus plus complexes au fur et à mesure que vous vous familiarisez avec la plateforme.

Le choix du bon outil est essentiel lors de la mise en œuvre de solutions d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). Commencez par une démonstration de faisabilité (PoC) pour valider les avantages de l'automatisation dans un environnement contrôlé. Utilisez le PoC pour tester des tâches spécifiques, comme le triage des alertes ou la détection des menaces, et recueillez des informations en vue d'un déploiement plus large.

Développez et testez des playbooks d'automatisation afin de définir des actions pour différents événements de sécurité. Commencez par automatiser les tâches répétitives, comme l'enrichissement des données ou la corrélation des alertes, et intégrez ces playbooks à vos outils de sécurité existants.

Au fur et à mesure que votre équipe gagne en confiance, étendez progressivement l'automatisation pour couvrir des flux de travail plus complexes, en évoluant vers une automatisation de bout en bout des opérations de sécurité. Cette approche mesurée permet d'optimiser les processus et de tirer pleinement parti des avantages de l'automatisation de la cybersécurité.

 

Les avantages de l'automatisation pour les organisations de toutes tailles

L'automatisation offre des avantages considérables aux organisations de toutes tailles, des petites aux grandes entreprises. Si des processus de sécurité matures peuvent renforcer les efforts d'automatisation, ils sont facultatifs pour commencer. Les petites organisations, en particulier, peuvent tirer profit de l'automatisation des tâches de routine afin de libérer des ressources pour des défis plus complexes.

Les organisations devraient commencer par tirer parti de playbooks et d'intégrations prêts à l'emploi pour automatiser les tâches simples et répétitives. Au fur et à mesure que les équipes acquièrent de l'expérience et de la confiance, elles peuvent progressivement passer à l'automatisation de flux de travail complets et de cas d'utilisation plus complexes. Cette approche progressive garantit que l'automatisation apporte une valeur maximale à chaque étape, quelle que soit la taille ou le niveau de maturité de l'organisation.

Avantages d'une automatisation cohérente des flux de travail

Les flux de travail automatisés garantissent des résultats cohérents en suivant les mêmes processus à chaque fois. Cette uniformité permet de standardiser les réponses et d'accélérer l'intégration des nouveaux analystes des centres d'opérations de sécurité (SOC) en intégrant les meilleures pratiques directement dans les playbooks.

Des flux de travail cohérents simplifient également le remplacement des points products, ce qui réduit les temps d'arrêt des opérations. Que l'automatisation soit en place ou non, des processus de sécurité bien documentés et normalisés sont essentiels pour améliorer l'efficacité des équipes et gérer efficacement les incidents.

 

Examen et approbation par les pairs

L'examen par les pairs est une étape essentielle pour garantir l'efficacité de vos cas d'utilisation. En impliquant des collègues et d'autres équipes de votre organisation, vous pouvez identifier les problèmes et les étapes manquées, ce qui permet d'améliorer l'automatisation.

Approbation managériale et déploiement de la production

Avant de déployer vos flux de travail automatisés en production, ils doivent être soumis à l'approbation des responsables. Envisagez un flux de travail du développement à la production et suivez les tâches sensibles au temps si nécessaire. Déterminez si les accords de niveau de service (SLA) doivent faire l'objet d'un suivi ou d'actions correctives.

Approbation managériale et préparation à la production

Avant de déployer des flux automatisés dans un environnement de production, il convient de les soumettre à l'examen et à l'approbation des responsables. Mettez en œuvre un flux de travail du développement à la production qui inclut le suivi des tâches sensibles au temps et examinez si les accords de niveau de service (SLA) doivent être contrôlés pour des actions de suivi ou de remédiation.

Définition des critères de clôture d'un incident

Établissez clairement les critères selon lesquels un incident est considéré comme clos, et veillez à ce que ces critères soient intégrés dans vos manuels d'automatisation. Si les incidents sont clôturés sur des systèmes externes, ajoutez cette étape à la fin du processus. Identifiez les points du flux de travail où un analyste peut avoir besoin d'intervenir et de prendre des décisions, et intégrez ces points de décision dans le processus d'automatisation.

 

Trouver un champion de l'automatisation

Si commencer modestement permet d'obtenir des gains rapides qui justifient les investissements initiaux, réaliser une Transformation numérique significative dans votre SOC exige un soutien solide des parties prenantes. Les utilisateurs de XSOAR qui réussissent à transformer leur SOC consacrent des ressources à la responsabilisation de leurs équipes, à la conduite d'initiatives d'automatisation et à l'identification des domaines clés où l'automatisation peut servir de catalyseur stratégique pour l'entreprise. Le fait d'avoir un champion au sein de votre organisation permet de créer une dynamique, d'obtenir l'adhésion nécessaire et de soutenir les progrès à long terme dans votre parcours d'automatisation.

Investissez dans une formation à l'automatisation SecOps

Investir dans la formation à l'automatisation de la cybersécurité est nécessaire pour les organisations qui naviguent dans le paysage numérique actuel en constante évolution. Les approches traditionnelles et manuelles de la cybersécurité devenant de plus en plus inadaptées, les professionnels de la sécurité doivent être dotés des compétences et des connaissances nécessaires pour tirer pleinement parti des avantages de l'automatisation.

L'automatisation offre des avantages considérables, notamment

  • Une détection des menaces et une réponse plus rapides
  • Précision accrue
  • Réduction de l'erreur humaine
  • Diminution de la charge de travail globale des équipes de cybersécurité

Cela est d'autant plus important que le déficit de compétences dans le domaine de la cybersécurité ne cesse de s'aggraver. Dans un contexte de pénurie de professionnels qualifiés, l'automatisation contribue à alléger la pression sur les ressources en permettant au personnel en place de traiter un plus large éventail de tâches de manière plus efficace, ce qui permet d'éviter l'épuisement et de maximiser la productivité.

Qu'est-ce que l'automatisation ?

"Il est très difficile de répondre à cette question. Il est évident qu'il s'occupe automatiquement de quelque chose, mais il ne vit pas dans un seul endroit. C'est pourquoi il est difficile de répondre à cette question. Beaucoup de gens pensent que le processus d'alerte ou de réponse aux incidents est une étape très linéaire, n'est-ce pas ? L'automatisation joue un rôle à cet égard, à plusieurs endroits ... Nous automatisons également les processus au sein et autour du SOC lui-même, de sorte que certaines procédures sont gérées en coulisses et n'ont pas besoin d'être gérées par nos analystes du SOC. Il peut s'agir de gouvernance ou d'audit, de notifications et d'alertes sur l'état de santé du programme ou de la plateforme. Pour nous, l'automatisation sert généralement à accélérer le temps de résolution et à accroître la clarté et la confiance que nous avons dans les conclusions auxquelles nous parvenons."

- Kyle Kennedy, ingénieur principal en sécurité du personnel, Palo Alto Networks

 

Définir les cas d'utilisation de l'automatisation

Des cas d'utilisation clairs et bien définis sont essentiels pour une automatisation efficace. Ce processus commence par l'identification des tâches répétitives, la compréhension des processus opérationnels critiques et l'identification des points douloureux spécifiques pour lesquels l'automatisation peut apporter le plus de valeur.

Impliquer les parties prenantes et analyser les données

Impliquez les principales parties prenantes des différents services, telles que les équipes de sécurité, d'exploitation et de conformité, pour qu'elles apportent leur contribution aux processus existants et identifient les domaines mûrs pour l'automatisation. Analyser les données pour hiérarchiser les cas d'utilisation en fonction de leur impact potentiel et de la facilité d'intégration.

Tenir compte des exigences en matière de sécurité et de conformité

Évaluez les implications de chaque cas d'utilisation en termes de sécurité et de conformité. Sélectionnez des outils d'automatisation qui s'alignent sur les exigences réglementaires et les normes de sécurité de l'organisation, en veillant à ce que la solution réponde aux besoins opérationnels et de conformité.

Concevoir et tester des prototypes

Développer et tester des prototypes pour valider la faisabilité de chaque cas d'utilisation. Calculez le retour sur investissement (ROI) en évaluant les gains de temps, les réductions de coûts et les gains d'efficacité potentiels. Utilisez ces informations pour créer une feuille de route en vue d'une mise en œuvre à grande échelle.

Documenter les cas d'utilisation et optimiser constamment

Conservez une documentation complète pour chaque cas d'utilisation, en décrivant les objectifs, les processus et les résultats escomptés. Contrôler constamment les performances des flux de travail automatisés, en procédant aux ajustements nécessaires pour optimiser l'efficacité et maintenir l'alignement sur les objectifs de l'organisation.

Définir les cas d'utilisation de l'automatisation consiste à identifier stratégiquement où l'automatisation peut améliorer l'efficacité et l'efficience tout en assurant l'alignement avec les objectifs de l'organisation et les exigences de conformité. Cette approche structurée permet de s'assurer que les initiatives d'automatisation produisent des avantages tangibles et contribuent à l'excellence opérationnelle globale.

Prévenir l'extension du champ d'application grâce à des définitions claires des cas d'utilisation

Pour éviter les dérives - un défi courant dans les projets d'automatisation - il est essentiel d'établir une définition claire et précise de chaque cas d'utilisation. Cela implique de fixer des objectifs et des limites spécifiques dès le départ, comme l'automatisation de la réponse aux incidents pour les menaces ciblées telles que les courriels de hameçonnage. Une définition précise des cas d'utilisation permet de concentrer les efforts d'automatisation, de les gérer et de les rendre efficaces, en évitant une complexité et des ajouts de fonctionnalités inutiles.

En outre, un champ d'application clair permet une meilleure évaluation et une meilleure gestion des risques. En comprenant les limites de chaque cas d'utilisation, les risques potentiels peuvent être identifiés rapidement et des stratégies d'atténuation peuvent être planifiées en conséquence.

Cette approche permet d'éviter l'introduction involontaire de vulnérabilités en matière de sécurité ou de problèmes de conformité, en veillant à ce que l'automatisation renforce plutôt qu'elle ne compromette la posture de sécurité de l'organisation.

L'automatisation de la réponse aux incidents est en marche

 

Exemples de cas d'utilisation : Hameçonnage et logiciels malveillants

Le hameçonnage et les logiciels malveillants sont deux des menaces de sécurité les plus répandues, ce qui en fait des points de départ idéaux pour développer des cas d'utilisation de l'automatisation. Les organisations peuvent personnaliser les playbooks pour ces scénarios afin de répondre à leurs exigences spécifiques, en les utilisant comme modèles pour élaborer des solutions sur mesure.

Aperçu : Selon le rapport sur les réponses aux incidents de l'Unit 42 de 2022, 77 % des intrusions sont soupçonnées de provenir de trois vecteurs d'accès principaux : le hameçonnage, l'exploitation de vulnérabilités logicielles connues et les attaques d'identifiants par force brute - ciblant principalement le protocole de bureau à distance (RDP).

Utilisation de la place de marché de Cortex XSOAR

Le Cortex Marketplace propose plus de 1 000 packs de contenu de playbooks préconstruits et d'intégrations avec des outils de sécurité et de non-sécurité utilisés dans le SOC. Ces ressources sont le fruit de recherches approfondies, d'expériences pratiques, de commentaires de clients et de données d'utilisation. Elles offrent un large éventail d'options susceptibles de répondre aux besoins de votre organisation.

Le contenu du Marché Cortex est constamment mis à jour pour refléter les nouvelles tendances du secteur et les commentaires des utilisateurs. En partageant leurs idées et leurs expériences, les organisations peuvent contribuer à l'évolution de l'automatisation de la sécurité, en aidant à façonner les futurs outils et playbooks qui répondent aux dernières menaces et défis.

 

Choisir la bonne plate-forme SOAR

Le choix de la bonne plateforme SOAR est crucial pour parvenir à une automatisation efficace de la sécurité. La plateforme idéale doit permettre une mise en œuvre rapide grâce à des playbooks prêts à l'emploi et prendre en charge l'évolutivité au fur et à mesure que les besoins de votre organisation en matière de sécurité évoluent. Il s'agit notamment d'intégrer des capacités avancées telles que les renseignements sur les menaces et d'orchestrer de manière transparente les flux de travail dans l'ensemble de vos outils de sécurité, les différentes équipes fonctionnelles et les réseaux distribués.

En outre, la plateforme devrait s'intégrer à des sources de renseignements sur les menaces externes pour fournir une visibilité en temps réel sur les menaces, aidant ainsi votre organisation à garder une longueur d'avance sur les risques émergents.

Comment Cortex XSOAR simplifie la vie des équipes SecOps

  • Accélère la réponse aux incidents: Cortex XSOAR réduit les délais de réponse aux incidents en remplaçant les tâches manuelles répétitives de bas niveau par des processus automatisés. Cela permet d'accélérer la réponse, d'améliorer la précision et de renforcer la satisfaction des analystes.
  • Standardise et met à l'échelle les processus: En fournissant des flux de travail étape par étape et reproductibles, l'automatisation de la sécurité permet de normaliser les processus d'enrichissement et de réponse aux incidents, ce qui garantit une qualité de réponse constante et la capacité d'évoluer efficacement.
  • Unifie l'infrastructure de sécurité: Cortex XSOAR est une plaque tournante qui relie des outils et des produits de sécurité auparavant disparates. Cette approche unifiée permet aux analystes de gérer la réponse aux incidents à partir d'une console unique et intégrée.
  • Augmente la productivité des analystes: Grâce à l'automatisation des tâches de bas niveau et à la normalisation des processus, les analystes peuvent se concentrer sur des activités à plus forte valeur ajoutée, telles que la chasse aux menaces et la planification des futures stratégies de sécurité, plutôt que de s'enliser dans des tâches routinières.
  • Mise à profit des investissements existants: En automatisant les actions répétitives et en minimisant la nécessité de passer d'une console à l'autre, Cortex XSOAR maximise la valeur de vos investissements existants en matière de sécurité et améliore la coordination entre les différents outils.
  • Streamlines Incident Handling: L'automatisation rationalise la gestion des incidents en s'intégrant aux principaux outils de gestion des services informatiques (ITSM) tels que ServiceNow, Jira et Remedy, ainsi qu'aux plateformes de communication telles que Slack. Cela permet d'accélérer le traitement et la résolution des incidents en les distribuant automatiquement aux parties prenantes appropriées en fonction des types d'incidents prédéfinis.
  • Améliore la posture de sécurité globale: Ces avantages contribuent à renforcer la posture de sécurité globale, à réduire les risques de sécurité et les impacts potentiels sur les entreprises.

 

FAQ sur le déploiement et les cas d'utilisation de SOAR

Une plateforme SOAR collecte des données et peut prendre des mesures automatisées pour remédier aux menaces et/ou envoyer des alertes aux équipes de sécurité avec des informations de sécurité contextuelles pour soutenir l'intervention humaine. Certains systèmes SIEM se contentent de collecter des données et d'envoyer des alertes, mais n'automatisent pas les mesures correctives.
Parmi les autres outils couramment déployés aux côtés d'une plateforme SOAR figurent la gestion des informations et des événements de sécurité (SIEM), la détection des terminaux et la réponse aux menaces (EDTR), le courtier de sécurité d'accès au cloud (CASB) et l'analyse du comportement des utilisateurs et des entités (UEBA).

Les plateformes SOAR s'intègrent aux outils de sécurité existants par le biais d'API et de connecteurs prédéfinis. Les étapes comprennent généralement

  • Configuration de l'API : Mise en place de connexions API entre la plateforme SOAR et les outils de sécurité (par exemple, SIEM, pare-feu, protection des terminaux).
  • Déploiement du connecteur : Déployer et configurer des connecteurs qui facilitent l'échange de données et l'exécution de commandes entre les outils.
  • Intégrations personnalisées : Des intégrations personnalisées peuvent être développées en utilisant les capacités de script et d'API de la plateforme SOAR pour les outils qui n'ont pas de connecteurs prédéfinis.

Les défis les plus fréquents dans le déploiement des SOAR sont les suivants :

  • Complexité de l'intégration : Atténuée par une planification minutieuse, l'utilisation d'API normalisées et le recours à l'assistance des fournisseurs.
  • Conception de flux de travail : Surmonter cette difficulté en impliquant des analystes de sécurité expérimentés dans la définition et le test des flux de travail.
  • Gestion du changement : La formation complète et la communication claire avec les parties prenantes permettent d'y remédier.
  • Évolutivité : Assurée par la sélection d'une plateforme SOAR évolutive et l'extension progressive de son utilisation.
  • Qualité des données : Amélioration grâce à l'introduction de données précises et cohérentes à partir d'outils intégrés.

La réussite d'un déploiement SOAR peut être mesurée à l'aide de plusieurs paramètres clés :

  • Réduction des temps de réponse : Mesurer la diminution du temps nécessaire à la détection, à l'investigation et à l'intervention en cas d'incident.
  • Augmentation de la capacité de traitement des incidents : Suivez les incidents traités avant et après le déploiement.
  • Efficacité du flux de travail : Évaluer l'efficacité et l'efficience des flux de travail automatisés.
  • Satisfaction des utilisateurs : Recueillir les réactions des analystes de la sécurité et des parties prenantes sur la facilité d'utilisation et l'impact de la plateforme SOAR.
  • ROI (retour sur investissement) : Calculez les économies réalisées grâce à la réduction des tâches manuelles et à l'amélioration de l'efficacité de la réponse aux incidents.
  • Rétention des analystes : Contribuer à prévenir l'épuisement professionnel des analystes en leur offrant un meilleur équilibre entre vie professionnelle et vie privée et des possibilités d'évolution de carrière, tout en leur permettant de se concentrer sur des tâches complexes et essentielles.

Ces mesures permettent de quantifier les améliorations et de justifier l'investissement dans une plateforme SOAR.

Contenu connexe
Qu'est-ce que la SOAR par rapport à la SIEM ?
SOAR (security orchestration, automation, and response) et SIEM (security information and event management) sont des outils de cybersécurité indispensables répondant à des fonction...
Cortex XSOAR
Laissez l'automatisation réduire le bruit et prendre en charge les tâches répétitives et fastidieuses afin de vous concentrer sur ce qui est essentiel et sur l'amélioration de votr...
Fiche technique Cortex XSOAR
Redéfinir l'orchestration, l'automatisation et la réponse en matière de sécurité
GigaOm Radar Report : SOAR
Découvrez pourquoi Cortex XSOAR est un leader en 2023

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité