Security Orchestration Automation & Response – SOAR (Trellix/Rapid7)
- Vận hành an ninh tập trung: Tích hợp với toàn bộ các giải pháp an ninh thông tin và giải pháp mạng/hệ thống để cung cấp khả năng vận hành an ninh tập trung cho toàn bộ hệ thống mạng.
- Tự động hóa các tác vụ vận hành an ninh trong hệ thống giúp tối ưu hóa nhân sự cho SOC cũng như tăng tốc vận hành hệ thống giám sát an ninh, điều tra và xử lý các sự cố an ninh (SOAR tự động collect thông tin alert liên quan đến suspicious malware từ SIEM, sau đó tự động kết nối tới Endpoint/EDR để collect để thu thập thông tin về process, tự động dump process và gửi vào sandbox để phân tích, tự động thu thập thông tin kết quả phân tích (IoC) và cập nhật cho các hệ thống phòng thủ như Hash cho Endpoint/EDR, CnC address cho Firewall/IPS, …)
- Một số các usecase: Accelerate threat hunting, Investigate email phishing, Investigate and contain malware, Vulnerability & Remediation/Patching Streamline, Incident Investigation & Response Automation, …
