SOAR, cosa vuol dire? Perché può essere importante?

Posted by Massimo Manara on Aug 19, 2020 12:00:00 AM

SOAR è un acronimo che significa Security Orchestration, Automation, and Response.

SOAR SAP SECURITY

 

 

Ma perché è importante sapere di cosa si tratta e come realizzarlo? La definizione di un sistema SOAR Security SAP è strategica.

 

SOAR, cosa vuol dire?

Significa l'insieme di tutti gli strumenti, policy/procedure che concorrono nel gestire la sicurezza dei sistemi, in particolare:

 

  • Gestione delle minacce e delle vulnerabilità
  • Gestione degli incident (Incident response)
  • Automatizzazione delle azioni security

 

In altre parole, avere una orchestra di strumenti che lavora nel modo migliore, per quanto riguarda la gestione degli aspetti di security.

 

SIEM e SOAR che differenza c'è?

Può essere utile identificare le differenze tra un sistema SIEM (Security Information and Event Management) e SOAR.

 

  • Il SIEM permette, maggiormente a livello di rete ed infrastruttura, di correlare analizzare e gestire gli eventi che sono generati principalmente da firewall, router etcc..

 

 

Sono strumenti che gestiscono enormi mole di dati, e spesso chi riceve eventi generati da questi strumenti non sempre riesce ad analizzarli tutti (escludendo falsi positivi, che comunque devono essere analizzati).

 

  • L'obiettivo dei sistemi SOAR è simile (a quello del SIEM) ma consente di avere una unica vista centralizzata che permette agli operatori di analizzare le sole casistiche critiche ed indirizzarle di conseguenza.

 

Sono quindi concetti che possono essere declinati in uno o più strumenti tecnologici che devono essere utilizzati in maniera complementare.

 

Qual è la visione di SAP (SIEM e SOAR) sull'argomento al momento?

SAP ha creato un proprio strumento SIEM chiamato SAP Enterprise Threat Detection (SAP ETD). Questo strumento basato su SAP HANA permette di ricevere, correlare e gestire moltissimi eventi, tra cui anche quelli specifici di SAP.

 

Spesso i SIEM sul mercato hanno una vista molto tecnica e richiedono sforzi non sempre indifferenti per poter integrare le logiche di SAP e costruire delle regole per identificare casi/pattern rilevanti anche per questi strumenti.

 

Capita spesso infatti che pur essendo presenti in azienda dei sistemi SIEM, questi non siano collegati a SAP. Oppure lo siano ma in maniera molto superficiale, ad esempio per tenere conto dei login o logoff effettuati da determinate utenze.

 

Solitamente le persone prettamente IT (o IT Security), conoscono perfettamente l'infrastruttura di rete aziendale, i sistemi operativi, gli apparati di rete etcc ma non hanno alcuna visibilità sugli aspetti di sicurezza dei sistemi SAP.

 

SAP_SIEM_ETD_SPLUNK_SOAR

 

Quanto sopra vale anche al contrario, dove le persone che si occupano di SAP, spesso non conoscono o non si integrano con strumenti di IT security già presenti in azienda.

 

Ed è anche per questo motivo che SAP ha deciso di costruire il sistema SAP Enterprise Threat Detection (ovvero per avere un strumento SIEM in grado di raccogliere i dati generati da SAP) e permettere a strumenti come SIEM di Splunk delle integrazioni native in modo da completare il disegno SOAR che questi strumenti offrono.

 

 

Topics: soar, sap etd, sap siem, sap splunk

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti