Verteidigung und Betrieb
SOAR
Definition
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
Beispiele
- Ein Phishing-Triage-Playbook, das URLs in einer Sandbox detoniert, VirusTotal abfragt und die E-Mail in Quarantäne nimmt.
- Ein XSOAR-Playbook, das einen Host im EDR isoliert und das Benutzerpasswort zurücksetzt, sobald Ransomware-Verhalten erkannt wird.
Verwandte Begriffe
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Security Operations Center (SOC)
Zentralisiertes Team und Einrichtung, das die IT-Umgebung einer Organisation rund um die Uhr überwacht, Sicherheitsvorfälle erkennt, untersucht und darauf reagiert.
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.
Mean Time to Respond (MTTR)
Mean Time to Respond (MTTR) — definition coming soon.