Wykrycie incydentu bezpieczeństwa to ważne wydarzenie, choć stanowi dopiero pierwszy krok na drodze do jego powstrzymania. Każda decyzja podjęta podczas reagowania na wykryte zagrożenie ma kluczowe znaczenie na to, czy uda się mu zażegnać, czy też dojdzie do jego eskalacji.

Tradycyjnym, a przy tym w dalszym ciągu najpopularniejszym sposobem reagowania na incydenty bezpieczeństwa jest wykorzystanie w pełni manualnych procesów. Kompletowanie listy narażonych systemów, odnajdywanie osób za nie odpowiedzialnych, identyfikowanie obszarów, których przerwę w działaniu może spowodować wykryty incydent, przygotowanie planu zaradzenia incydentowi, czy wreszcie jego wykonanie i koordynacja – to tylko niektóre z oczekujących na personel bezpieczeństwa wyzwań. Pamiętać przy tym należy, że na każdym etapie mogą pojawić się okoliczności, które spowodują konieczność przebudowania całego planu działania, jak chociażby wykrycie nowych, powiązanych wektorów ataku czy narażonych obszarów.

W pełni manualne, czasochłonne – a przez to zwiększające ryzyko eskalacji – przygotowanie i wykonanie planu zaradzenia incydentowi bezpieczeństwa nie jest jednakże jedyną dostępną opcją. Istnieje klasa rozwiązań, które mają za zadanie znacząco ten proces przyspieszyć oraz automatycznie dopasować do zmieniającej się sytuacji. Mowa o rozwiązaniach klasy SOAR (ang. Security Orchestration, Automation and Response, czyli orkiestracja zabezpieczeń, automatyzacji i reagowania). Do najpopularniejszych rozwiązań tej klasy zaliczyć można IBM Security® QRadar® SOAR (dawniej: IBM Resilient), czy Palo Alto Cortex XSOAR. Jak zauważa firma IBM, wykorzystanie rozwiązania klasy SOAR pomaga w skróceniu czasu potrzebnego na zaradzenie incydentowi nawet o 85% (link: https://www.ibm.com/products/qradar-soar).

Sercem rozwiązań klasy SOAR są tzw. dynamiczne podręczniki (ang. playbook). Wykorzystują one istniejące procesy reagowania, dostosowując je do zdarzeń wykrytych przez system SIEM oraz wyników poszczególnych etapów tych procesów. Pozwalają one przy tym na automatyzację części zadań, np. wysłanie powiadomienia do odpowiedniego zespołu wsparcia, odpytanie bazy CMDB (ang. Configuration Management DataBase, jest to baza zawierająca informacje o wszystkich rozwiązaniach programowych i sprzętowych stosowanych w organizacji), żądanie zmiany konfiguracji urządzenia sieciowego, etc. Dla każdego z wykrytych potencjalnych incydentów bezpieczeństwa tworzony jest w systemie SOAR osobny wpis, zawierający plan działania i status jego wykonania, powiązane dane pozyskane z systemu SIEM oraz z innych systemów (takich jak wspomniana baza CMDB), a także notatki oraz załączniki (np. raport z przeprowadzonej analizy na narażonym systemie, pozyskane pliki do analizy, etc.) dodane przez personel pracujący z incydentem.