فورتينت SOAR: نظرة عامة على الحل، الميزات والقيود

ما هو Fortinet SOAR (FortiSOAR)؟

Fortinet SOAR (FortiSOAR) هو حل لأتمتة وتنظيم الأمن والاستجابة (SOAR) يهدف إلى تبسيط عمليات الأمان للمؤسسات. يهدف إلى معالجة التحديات التي تواجه فرق مراكز العمليات الأمنية (SOC) وفرق مراكز العمليات الشبكية (NOC) وفرق التكنولوجيا التشغيلية (OT) من خلال توحيد سير العمل، وأتمتة العمليات، ودعم الكشف عن التهديدات والاستجابة للحوادث.

يعمل FortiSOAR كمركز لعمليات الأمان، حيث تقوم المؤسسات بدمج أدوات الأمان الموجودة لديها، وأتمتة المهام المتكررة، وتوحيد إجراءات الاستجابة للحوادث. تم تصميمه للتعامل مع تكاملات متعددة وتدفقات عمل مسبقة البناء.

تقدم هذه المنصة معلومات مركزية عن التهديدات، وتخصيص خطط العمل، وإدارة الثغرات بناءً على المخاطر. يمكن نشرها كحل من البرمجيات كخدمة، أو على الخوادم المحلية، أو من خلال مقدمي خدمات الأمن المدارة.

هذا جزء من سلسلة من المقالات حول FortiSIEM.

الميزات الرئيسية لمنتج FortiSOAR

تقدم FortiSOAR الميزات التالية:

• استجابة الحوادث الأمنية: يقوم بأتمتة تصنيف التنبيهات، والتحقيق، وعمليات الاستجابة، مع التكامل مع أدوات الأمان الأخرى. ويشمل كتب تشغيل مسبقة البناء لدعم فرق مركز العمليات الأمنية، ومركز العمليات الشبكية، وفرق التشغيل.
• إدارة الحالات والقوى العاملة: يوفر أدوات لإدارة تكليف المهام، وتتبع قوائم العمل، والتعامل مع جدولة الفريق.
• دمج معلومات التهديدات: يدمج المعلومات من مختبرات FortiGuard ومصادر عامة أخرى لتعزيز التحقيقات ودعم صيد التهديدات.
• إدارة الأصول والثغرات: تقدم وجهات نظر قائمة على المخاطر حول الأصول، وتتبع الثغرات، وتدفقات العمل الآلية للتخفيف التي تهدف إلى تحسين الكفاءة التشغيلية.
• أتمتة الامتثال: تهدف إلى تبسيط إدارة امتثال تكنولوجيا المعلومات/التكنولوجيا التشغيلية من خلال أتمتة المهام، وإعداد تقارير مفصلة، وتتبع اتفاقيات مستوى الخدمة (SLAs).
• إدارة أمان تكنولوجيا التشغيل: تقدم تكاملات متخصصة وكتيبات عمل لبيئات تكنولوجيا التشغيل.
• مساعدة الذكاء الاصطناعي التوليدي: تستفيد من أدوات الذكاء الاصطناعي مثل FortiAI ومحرك التوصيات لتسريع سير العمل للمحللين من خلال تقديم رؤى واقتراحات.
• مصمم دفتر اللعب: يتضمن واجهة بدون كود وواجهة منخفضة الكود لإنشاء سير عمل مخصص لأتمتة العمليات باستخدام وظيفة السحب والإفلات، مما يمكّن الفرق ذات الخبرة البرمجية المحدودة من تخصيص العمليات.
• خيارات النشر: يدعم النشر المحلي، السحابة العامة، البرمجيات كخدمة، ومزودي الخدمة المدارة.
• مركز المحتوى: يوفر الوصول إلى مكتبة من الموصلات، والكتب التشغيلية، والحلول، وموارد المجتمع التي تهدف إلى تحسين قدرات النظام بشكل مستمر.

حالات استخدام FortiSOAR

1. التحقيق في التهديدات الأمنية والاستجابة لها

يُؤتمت نظام FortiSOAR فرز التنبيهات وإثرائها والاستجابة لها من خلال التكامل مع منتجات أمنية متعددة. تُعالج التنبيهات الروتينية تلقائيًا، بينما تُربط التنبيهات ذات الأولوية إطار عمل MITRE ATT&CK وتُجمع في حوادث لتحليلها بشكل أعمق.

يتم دعم المحللين بتوصيات من دليل العمل ويمكنهم إدارة الحوادث المتصاعدة من خلال ميزة "غرفة الحرب" للتعاون وتتبع الأدلة. باستخدام التطبيق المحمول الآمن، يمكن للمحللين الرد على الحوادث من مواقع مختلفة.

2. إدارة الأصول والضعف

يتكامل FortiSOAR مع إدارة الأصول وأدوات فحص الثغرات لتقديم رؤية قائمة على المخاطر للأصول في تكنولوجيا المعلومات والتكنولوجيا التشغيلية. يوفر رؤى حول أهمية الأصول والثغرات وظروف التنبيه، مما يساعد الفرق على تحديد الأولويات ومعالجة المخاطر.

تم تصميم الدلائل الآلية لتبسيط عملية الإصلاح، بينما تستفيد التحقيقات في الحوادث من السياق الغني من خلال الوصول إلى ملفات الأصول الجاهزة.

3. عمليات أمن تكنولوجيا التشغيل

تواجه أنظمة التكنولوجيا التشغيلية (OT) مخاطر متزايدة بسبب تقاربها مع تكنولوجيا المعلومات (IT). تحاول FortiSOAR معالجة هذه المخاطر من خلال تمكين عمليات الأمان المتكاملة للتكنولوجيا التشغيلية. توفر ميزات إدارة الأصول والثغرات الخاصة بالتكنولوجيا التشغيلية، ووجهات نظر تهديدات محددة لأنظمة التحكم الصناعية (ICS)، وكتيبات خاصة بالتكنولوجيا التشغيلية.

هذه الأدوات تهدف إلى التوافق مع أفضل الممارسات الموصى بها من قبل وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، والتي تساعد في ضمان الحماية لبيئات التشغيل.

4. أتمتة الامتثال والتقارير

يعمل FortiSOAR على تبسيط إدارة الامتثال من خلال أتمتة التحديثات الاستشارية، والمهام المتعلقة بالامتثال، والتقارير. كما يدعم تتبع البيانات ولوحات المعلومات المخصصة لمجموعة متنوعة من اللوائح، بما في ذلك GDPR وHIPAA وUS NERC CIP.

تهدف ميزات تتبع اتفاقيات مستوى الخدمة (SLA) وإدارة الأصول وإدارة الثغرات إلى المساعدة في إدارة التنبيهات والإجراءات الإلزامية للحفاظ على الامتثال.

5. إنشاء دليل مخصص

تقدم FortiSOAR واجهة بصرية للسحب والإفلات لإنشاء خطط عمل مخصصة، والتي لا تتطلب مهارات برمجية تقنية. هذا التطوير ذو الكود المنخفض يتيح للمستخدمين تصميم ومحاكاة سير العمل.

تتضمن المنصة الوصول إلى مجموعة متنوعة من الأدلة الجاهزة من مركز محتوى FortiSOAR وإرشادات مباشرة من محرك التوصيات. وهذا قد يسهل تنفيذ وتكييف الأتمتة لتلبية احتياجات مختلفة.

6. عمليات مزود خدمة الأمن المدارة

تدعم FortiSOAR نماذج النشر المطلوبة من قبل مقدمي خدمات الأمن المدارة (MSSPs). تتيح إعدادات مستأجرين مشتركة ومخصصة، وتدعم الهياكل الهرمية والإقليمية لمراكز العمليات الأمنية، وتقدم كتيبات وإشعارات ولوحات معلومات لكل مستأجر.

قد تستفيد مقدمو خدمات الأمان المدارة (MSSPs) من الترخيص المرن نسبيًا والتركيز على الخدمات القابلة للتخصيص وإدارة التكاليف.

محتوى ذي صلة: اقرأ دليلنا حولأمان SOAR

أمثلة على حزم الحلول الخاصة بـ FortiSOAR.

إدماج الموظفين الجدد بشكل آلي

يأمل حزمة حل أتمتة انضمام الموظفين في تبسيط عمليات الانضمام والخروج من العمل للمؤسسات الكبيرة، خاصة تلك التي لديها معدل دوران موظفين مرتفع. بينما تدير أنظمة إدارة الهوية والوصول الحديثة (IAM) أو أنظمة تسجيل الدخول الموحد (SSO) معظم الوصول، تتطلب الأنظمة القديمة غالبًا تكوينًا يدويًا لمنح أو إلغاء الأذونات. يساعد هذا الحل في أتمتة هذه العمليات باستخدام أدوات مثل الدليل النشط ومحفزات البريد الإلكتروني.

تتضمن حزمة الحلول موارد مثل:

• الموصلات: التكامل مع Exchange، الدليل النشط، MySQL، و SSH للتواصل وتنفيذ المهام عبر المنصات.
• المتغيرات العالمية: وضع عرض توضيحي للمحاكاة دون التأثير على البيئات الحية.
• Playbooks: سير عمل محددة مسبقًا لتوظيف أو إنهاء خدمات الموظفين، وإنشاء أو تعطيل حسابات المستخدمين على الأنظمة، وتكوين الوصول إلى خدمات مثل MySQL وSSH.

يقوم النظام بتحديد احتياجات وصول المستخدمين عبر مجموعات الدليل النشط، بهدف أن يحصل كل موظف على الأذونات المناسبة. عادةً ما تأتي الطلبات لتوفير الوصول من أنظمة الموارد البشرية أو البريد الإلكتروني، وتساعد كتب التشغيل الآلية في إنشاء الحسابات، وتكوين صناديق البريد، وإدارة الوصول إلى الخوادم.

استجابة لهجوم القوة الغاشمة

تقدم حزمة حلول استجابة هجمات القوة الغاشمة استجابة آلية لفشل تسجيل الدخول ومحاولات القوة الغاشمة. تهدف إلى تحديد مصدر الهجمات وتقييم تأثيرها على الأنظمة المتأثرة.

تشمل الميزات الرئيسية ما يلي:

• التكامل مع الأدوات: يستخدم VirusTotal لتحليل سمعة عنوان IP، والدليل النشط لاستعلام المستخدمين، وSplunk لاستيعاب الأحداث والبحث.
• السيناريوهات: عرض لكشف القوة الغاشمة باستخدام موصلات مثل FortiSIEM و Syslog.
• Playbooks: تدفقات عمل مسبقة البناء للمساعدة في التحقيق في فشل تسجيل الدخول، واستخراج مؤشرات رئيسية مثل عناوين IP المصدر والوجهة، وإضافة إلى هذه البيانات بمعلومات التهديد.

من خلال أتمتة المهام التحليلية المتكررة، يهدف الحل إلى تقليل الجهد اليدوي وتحسين وقت الاستجابة. يمكن لفرق الأمان عزل الأنظمة المتأثرة وقطع الوصول عن المهاجمين الخبيثين لمنع المزيد من الاختراق.

استجابة حركة مرور البرمجيات الضارة C2

تركز حزمة حلول استجابة حركة مرور البرمجيات الخبيثة C2 على التعامل مع هجمات التحكم والتوجيه (C2). تتضمن هذه الهجمات أنظمة مصابة بالبرمجيات الخبيثة تتواصل مع خادم المهاجم لسرقة البيانات، أو تحميل برمجيات خبيثة إضافية، أو السيطرة على الأنظمة المصابة.

تشمل المكونات الرئيسية:

• السيناريو: تم الكشف عن اتصال ضار خارجي عبر منافذ C2 المعروفة.
• كتب اللعب: أدوات للمساعدة في التحقيق واحتواء التهديد من خلال عزل أو حظر عناوين IP الخبيثة باستخدام Fortinet FortiGate واسترجاع المؤشرات ذات الصلة من مصادر استخبارات التهديد.

هذا الحل يقوم بأتمتة عمليات الاحتواء والتحقيق، مما يساعد فرق الأمن على تقليل تأثير هجمات C2. كما أنه يوفر معلومات غنية لمساعدة المحللين على فهم نطاق وطبيعة الهجوم.

قيود FortiSOAR

يحتوي FortiSOAR أيضًا على قيود يمكن أن تؤثر على سهولة الاستخدام، وقدرات التكامل، وتجربة المستخدم بشكل عام. وقد أبلغ المستخدمون عن هذه القيود على Gartner Peer Insights:

• تعقيد تطوير الموصلات: إذا كان المنتج المطلوب يفتقر إلى موصل مسبق البناء في FortiSOAR، يجب على المستخدمين تطوير واحد بأنفسهم. يمكن أن تكون هذه العملية صعبة وتستغرق وقتًا طويلاً، خاصةً لأولئك غير المألوفين بإنشاء الموصلات.
• تكامل محدود مع بعض مصادر البيانات: يواجه FortiSOAR صعوبة في التكامل مع بعض مصادر البيانات، مما يمكن أن يعيق قدرته على توفير التواصل الثنائي الاتجاه عبر كامل مجموعة تقنيات الأمان.
• إدارة معقدة: ميزات إدارة المنصة ليست سهلة الاستخدام، مما يجعل من الصعب على الفرق إدارتها وتكوينها بدون خبرة أو تدريب كبير.
• وثائق غير كافية: الوثائق، خاصة فيما يتعلق بالتكامل مع أدوات الطرف الثالث، غالبًا ما تكون غير كافية. يمكن أن يؤدي هذا النقص في الإرشادات التفصيلية إلى تحديات أثناء الإعداد والتكامل.
• تعقيد الإعداد الأولي العالي: قد يكون إعداد وتكوين FortiSOAR مستهلكاً للوقت ومعقداً، مع منحنى تعلم حاد للمستخدمين الجدد.
• تعقيد الدليل ولوحة المعلومات: يمكن أن يكون تصميم الدليل وميزات التقارير في المنصة معقدة للغاية، مع وجود خيارات كثيرة قد تشتت انتباه المستخدمين، خاصة خلال مرحلة التنفيذ الأولية.
• مخاوف التكلفة: قد تكون تكلفة FortiSOAR مرتفعة لبعض المنظمات. على الرغم من أنه يتكامل بشكل جيد مع منتجات Fortinet الأخرى، إلا أن هذا التكامل يأتي بتكلفة إضافية.

محتوى ذي صلة: اقرأ دليلنا حول منافسي فورتينت

إكزابين: البديل النهائي لبرنامج Fortinet SOAR

بينما يوفر Fortinet SOAR (FortiSOAR) قدرات أتمتة وتنظيم الأمن، فإن تعقيده ونموذج التكامل الصارم والاعتماد على سيناريوهات مسبقة البناء يمكن أن يحد من القدرة على التكيف في بيئات الأمن الديناميكية.

تتبع Exabeam نهجًا أكثر مرونة من خلال دمج SIEM و SOAR و UEBA في منصة موحدة تُبسط التحقيقات وتُؤتمت سير العمل للاستجابة دون الحاجة إلى ضبط يدوي مكثف. على عكس FortiSOAR، الذي يركز بشكل أساسي على أتمتة المهام المحددة مسبقًا، تطبق Exabeam تحليلات سلوكية لاكتشاف الشذوذ والتكيف مع الأتمتة بناءً على التهديدات المتطورة. مع تكاملات API المبنية مسبقًا لمجموعة واسعة من أدوات الأمان - بما في ذلك منتجات Fortinet - توفر Exabeam رؤية أوسع وأوقات استجابة أسرع، مما يضمن بقاء فرق الأمان في المقدمة أمام المهاجمين مع تقليل الأعباء التشغيلية.

إكزابييم هي مزود رائد لحلول إدارة معلومات وأحداث الأمان (SIEM)، تجمع بين UEBA وSIEM وSOAR وTDIR لتسريع عمليات الأمان. تمكّن منصات العمليات الأمنية الخاصة بها الفرق الأمنية من اكتشاف التهديدات والتحقيق فيها والاستجابة لها بسرعة، مع تعزيز الكفاءة التشغيلية.

الميزات الرئيسية:

• جمع السجلات وإدارتها القابلة للتوسع: تسرع المنصة المفتوحة عملية إدخال السجلات بنسبة 70%، مما يلغي الحاجة لمهارات هندسية متقدمة مع ضمان تجميع سلس للسجلات عبر البيئات الهجينة.
• تحليلات سلوكية: تستخدم تحليلات متقدمة لتحديد السلوك الطبيعي مقابل السلوك غير الطبيعي، وكشف التهديدات الداخلية، والحركة الجانبية، والهجمات المتقدمة التي تفوتها الأنظمة المعتمدة على التوقيع. يذكر العملاء أن Exabeam يساعد في الكشف والاستجابة لـ 90% من الهجمات قبل أن تتمكن الشركات الأخرى من اكتشافها.
• استجابة التهديدات الآلية: تبسط عمليات الأمان من خلال أتمتة جداول الحوادث، وتقليل الجهد اليدوي بنسبة 30%، وتسريع أوقات التحقيق بنسبة 80%.
• تحقيق الحوادث السياقية: نظرًا لأن Exabeam يقوم بأتمتة إنشاء الجداول الزمنية ويقلل من الوقت المستغرق في المهام البسيطة، فإنه يقلل من الوقت اللازم لاكتشاف التهديدات والاستجابة لها بأكثر من 50%. تقلل قواعد الكورليشن المسبقة البناء، ونماذج اكتشاف الشذوذ، ودمج البائعين من التنبيهات بنسبة 60%، مما يقلل من الإيجابيات الكاذبة.
• خيارات SaaS والسحابة الأصلية: توفر خيارات النشر المرنة قابلية التوسع للبيئات السحابية والهجينة، مما يضمن سرعة تحقيق القيمة للعملاء. بالنسبة للمنظمات التي لا تستطيع، أو لا ترغب في نقل SIEM الخاص بها إلى السحابة، تقدم Exabeam SIEM رائد في السوق، كامل الميزات، ومُستضاف ذاتيًا.
• رؤية الشبكة مع NetMon: يوفر رؤى عميقة تتجاوز الجدران النارية وأنظمة كشف التسلل/أنظمة منع التسلل، ويكتشف التهديدات مثل سرقة البيانات ونشاط الشبكات الآلية، مما يسهل التحقيق من خلال البحث المرن. كما أن تحليل الحزم العميق (DPA) يبني أيضًا على محرك فحص الحزم العميق (DPI) الخاص بـ NetMon لتفسير مؤشرات الاختراق الرئيسية (IOCs).

يبرز عملاء Exabeam باستمرار كيف أن رؤيتها في الوقت الحقيقي، والأتمتة، وأدوات الإنتاجية المدعومة بالذكاء الاصطناعي، تعزز من مهارات الأمن، وتحول المحللين المرهقين إلى مدافعين نشطين، مع تقليل التكاليف والحفاظ على دعم رائد في الصناعة. لمزيد من المعلومات، قم بزيارة Exabeam.com