SOAR playbook
A SOAR playbook a Security Orchestration, Automation and Response (SOAR) rendszerek egyik kulcseleme.
Egyszerűen megfogalmazva:
Ez egy előre definiált, automatizált forgatókönyv, amely lépésről lépésre meghatározza, hogyan kell kezelni egy adott biztonsági eseményt vagy fenyegetést.
Ez egy előre definiált, automatizált forgatókönyv, amely lépésről lépésre meghatározza, hogyan kell kezelni egy adott biztonsági eseményt vagy fenyegetést.
Mit tartalmaz egy SOAR playbook?
- Trigger (mi indítja el) → pl. új phishing e-mail észlelése, gyanús IP-cím forgalma.
- Automatizált lépések → pl. IP blokkolása, felhasználó karanténba helyezése, érintett gép izolálása.
- Döntési pontok → ha emberi beavatkozás szükséges (pl. SOC elemző jóváhagyása törlés előtt).
- Jelentéskészítés és naplózás → minden lépést dokumentál a visszakövethetőségért (audit trail).
Példa egy SOAR playbookra (Phishing e-mail esetén)
- Észlelés – SIEM riasztás, hogy gyanús e-mail érkezett.
- Automatizált elemzés – e-mail fejléc vizsgálata, hash ellenőrzés threat intelligence adatbázisban.
- Döntés – ha ismert rosszindulatú domain, automatikusan törli az e-mailt; ha kétes, SOC elemző elé kerül.
- Reagálás – érintett postafiókok zárolása, felhasználó értesítése, IP blokkolása a tűzfalon.
- Jelentés – incidensről automatikus ticket nyitás és riport.
Miért fontos?
- Gyorsítja a reakciót: percek helyett másodpercek alatt történhet a beavatkozás.
- Csökkenti az emberi hibát: standardizált és ismételhető folyamatokat ad.
- Tehermentesíti a SOC elemzőket: az ismétlődő feladatokat automatizálja.
- Megfelelőség: biztosítja, hogy minden incidens kezelése dokumentált és szabályozott legyen.
Tehát a SOAR playbook egy digitális “incidenskezelési kézikönyv”, amit a rendszer automatikusan végrehajt, részben vagy egészben, előre beprogramozott szabályok alapján.
