„Wir erreichen mit der SOAR-Lösung einen deutlich höheren Automatisierungsgrad in unserem SOC“  

Das Thema „Security Orchestration, Automation and Response“ (kurz: SOAR) ist auf dem Vormarsch. Mehrere Hersteller reagieren auf diesen Trend, indem sie entsprechende Lösungen auf den Markt bringen. Einer davon ist Palo Alto Networks mit der Lösung „XSOAR“. Im Interview erklärt CANCOM-Experte Niels Gliwitzky, wie CANCOM und die Kunden von der Integration von XSOAR in das eigene Security Operations Center profitieren.

14. September 2023

|

Lesedauer: ca. 3 Min.

soar-loesung-autmatisierung-im-soc

Bild: © CANCOM

Der vom Marktforschungsinstitut Gartner geprägte Begriff „SOAR“ beschreibt ein System, das darauf ausgerichtet ist, Reaktionen auf potenzielle Cyberbedrohungen automatisch einzuleiten. Dadurch sollen Security-Teams entlastet werden, die mit einer stetig wachsenden Zahl von Cyberbedrohungen zu kämpfen haben.

Zu Beginn sammelt die SIEM-Lösung Daten über die potenzielle Cyberbedrohung und gleicht diese mit Threat Intelligence-Quellen und eigenen Rule-Sets ab. Falls die Analyse ergibt, dass es sich um eine reale Cyberbedrohung handelt, leitet das nachgelagerte SOAR-System (teil-)automatisiert entsprechende Maßnahmen in die Wege, um die jeweilige Bedrohung zu beseitigen.

Während dieses gesamten Prozesses werden die Verantwortlichen, etwa die Security-Analysten in einem Security Operations Center (kurz: SOC), über die Cyberbedrohung und die Maßnahmen informiert – und darüber, ob die ausgeführten Maßnahmen erfolgreich waren. All dies funktioniert automatisiert – auf Basis vordefinierter, individuell erstellter Playbooks. Diese geben dem System bestimmte Maßnahmen für ein spezifisches Szenario vor.

XSOAR von Palo Alto Networks als führende SOAR-Lösung

Wie Niels Gliwitzky (Manager Focus Sales, Security Operations Center bei CANCOM) im Interview betont, kann das SOC-Team von CANCOM, das inzwischen mit „XSOAR“ von Palo Alto Networks arbeitet, seine Effizienz durch die SOAR-Lösung bedeutend steigern. Dank Automatisierung müssten sie deutlich weniger Zeit und Ressourcen in die Beseitigung wiederkehrender Bedrohungen investieren – und könnten sich stärker auf komplexere Fälle konzentrieren.

Laut dem Fachportal “Expert Insights” gehört XSOAR von Palo Alto Networks zu den führenden SOAR-Lösungen am Markt. Demnach handelt es sich um eine leistungsstarke Lösung, mit der sich Bedrohungen schnell und präzise untersuchen lassen – inklusive Reaktion. Unter anderem seien sogenannte Threat Intelligence Management-Module in die Plattform integriert: Diese würden auftretende Cyberbedrohungen in den passenden Kontext setzen. Darüber hinaus sei die Lösung hochskalierbar und einfach zu implementieren.

Doch wie schlägt sich XSOAR in der Praxis? Diese und weitere Fragen hat die Redaktion von CANCOM.info den CANCOM-Experten Niels Gliwitzky gestellt.

CANCOM.info: CANCOM hat XSOAR ja in das eigene SOC integriert. Welchen Effekt erzielen Sie damit?

Niels Gliwitzky: Wir erreichen mit der SOAR-Lösung einen deutlich höheren Automatisierungsgrad in unserem SOC. Denn wir haben nun die Möglichkeit, eine Vielzahl von Aktivitäten und Prozessen zu automatisieren – was die Effektivität unseres SOC-Teams steigert. Dieses muss deutlich weniger Zeit und Ressourcen in die Beseitigung wiederkehrender Bedrohungen aufwenden und kann sich stärker auf die komplexeren Fälle konzentrieren. XSOAR ergänzt unser bestehendes SIEM-System optimal. 

CANCOM.info: Wie profitieren Ihre Kunden davon, dass das SOC jetzt stärker automatisiert arbeitet?

Niels Gliwitzky: Unser SOC arbeitet dadurch schneller, weil wir viele Arbeitsschritte nun standardisiert abwickeln können – und das mit hoher Zuverlässigkeit. Außerdem sind wir gerade dabei, Playbooks für bestimmte Anwendungsfälle zu entwerfen und diese für jeden Kunden individuell anzupassen. Dies ist nötig, weil Kunden sehr unterschiedliche Technologien für ihre Security-Bereiche einsetzen. Die Anpassung nehmen wir natürlich in enger Abstimmung mit den Kunden vor.  

CANCOM.info: Wenn wir beim Thema Anwendungsfälle bleiben: Für welche Fälle erstellen Sie aktuell die entsprechenden Playbooks – damit das SOC diese Use Cases mithilfe von XSOAR künftig automatisiert abarbeiten kann?

Niels Gliwitzky: Wir konzentrieren uns derzeit auf zwei Use Cases. Der erste dreht sich um die Kompromittierung von Clients. Wesentliche Elemente des dafür entwickelten Playbooks werden eine automatische Sperrung des Client-Systems sowie eine Evaluierung sein, ob es sich um eine tatsächliche Bedrohung handelt oder nicht. Der zweite wird das Thema Phishing E-Mails behandeln. Hier werden wir die automatisierte Prüfung von E-Mails durch SOAR inklusive Benachrichtigung der Kunden in das Playbook integrieren.  

CANCOM.info: Wieso rücken Sie gerade diese beiden Use Cases in den Mittelpunkt?

Niels Gliwitzky: In beiden Use Cases erhalten unsere Kunden überdurchschnittlich viele Warnmeldungen. Entsprechend ist es gerade in diesen beiden Bereichen wichtig, dass wir auf potenzielle Cyberbedrohungen schnell reagieren. Hier wird die Automatisierung durch XSOAR unser SOC-Team in Zukunft maßgeblich unterstützen.  

Weitere Informationen zu den Security-Lösungen von Palo Alto Networks wie XSOAR finden Sie auf der exklusiven Themenseite. Außerdem haben Sie dort die Möglichkeit, CANCOM-Experten für eine unverbindliche Beratung zu kontaktieren.

Hintergrund zum Experten

Niels Gliwitzky

Manager Focus Sales, Security Operations Center, CANCOM

niels-gliwitzky

Niels Gliwitzky ist bei CANCOM als Manager Focus Sales Security Operations Center tätig und berät Unternehmen, die selbst keine 24/7-Angriffsüberwachung und -abwehr aufbauen können oder es aufgrund des hohen internen Aufwands nicht wollen. Dabei beschäftigt er sich regelmäßig mit Themen rund um Managed Services, SIEM und SOAR. 

Mehr zum Thema „IT-Security“

Zero Trust_Sophos
“Zero Trust bietet Unternehmen die Flexibilität, den Zugriff auf ihre Netzwerke zu verwalten”

Lesedauer: 5 Min.

Schutz vor Ransomware: Deshalb spielen Bandspeicher eine wichtige Rolle
Schutz vor Ransomware: Deshalb spielen Bandspeicher eine wichtige Rolle

Seit Jahren im Einsatz, hat die Bandspeicher-Technologie bis heute nichts an Relevanz eingebüßt. Dies gilt besonders beim Schutz vor Ransomware-Attacken.

Lesedauer: 3 Min.

container-sicherheit-technologie
„Nur mit einer modernen Container-Sicherheit können Firmen ihre Container-Umgebung vor bekannten, aber auch unbekannten Bedrohungen schützen“

Für die Nutzung der Container-Technologie müssen Firmen eine moderne Container-Sicherheit etablieren. Wie das gelingt, verrät CANCOM-Experte Wolfgang Hofbauer.

Lesedauer: 5 Min.

cloud-sicherheitskonzept-sase
Cloud-basiertes Sicherheitskonzept: Über die Merkmale und Anwendung von SASE

Es ist aktuell eines der Trendthemen in der IT: Secure Access Service Edge (kurz: SASE). Mehr dazu im Interview mit CANCOM-Experte Thimo Barthel.

Lesedauer: 4 Min.

Gesichtserkennung: Das steckt hinter der Technologie
Gesichtserkennung: Das steckt hinter der Technologie

Ob für Smartphones oder am Flughafen: Die Einsatzmöglichkeiten der Gesichtserkennung sind vielfältig. Doch wie genau funktioniert die Technologie?

Lesedauer: 3 Min.

„Angreifer konzentrieren sich zunehmend auf mobile Geräte, anstatt auf Netzwerke als Einfalltor für Attacken“
„Angreifer konzentrieren sich zunehmend auf mobile Geräte, anstatt auf Netzwerke als Einfalltor für Attacken“

Die Sicherheitsanforderungen an Business Devices steigen an. Wie sich Unternehmen vor Hacker-Angriffen schützen können, erfahren Sie im Interview.

Lesedauer: 3 Min.

Das bedeutet das Supportende von Windows 7 für Unternehmen
Das bedeutet das Supportende von Windows 7 für Unternehmen

Ab sofort erhält Windows 7 keine Sicherheitsupdates mehr. Unternehmen, die noch auf das Betriebssystem setzen, sollten spätestens jetzt handeln.

Lesedauer: 2 Min.

mobilgeraete-security-unternehmen
Mobilgeräte sicher im Unternehmen nutzen: Was Samsung dazu beitragen möchte

Mobilgeräte umfassend abzusichern, ist heute eine zentrale Aufgabe für Firmen. Warum das so ist und wie Samsung dabei unterstützen möchte, lesen Sie im Artikel.

Lesedauer: 4 Min.

datenwiederherstellung-data-recovery-backup
Datenwiederherstellung nach Angriffen: Prävention ist nur die halbe Miete

Auch beste Sicherheitsvorkehrungen bieten keine endgültige Garantie gegen Cyberangriffe. Mehr über Ernstfallmaßnahmen und Datenwiederherstellung lesen Sie hier.

Lesedauer: 4 Min.

Digitale Erpressung: So wehren Sie sich
Digitale Erpressung: So wehren Sie sich

Sie werden von Cyberkriminellen erpresst? Dann bewahren Sie Ruhe. Und zahlen Sie auf keinen Fall das Lösegeld. Ein Gastbeitrag von Marcel Reifenberger.

Lesedauer: 2 Min.

Sicherheitsfaktor Endgeräteschutz: Wie Sie den Mac umfassend absichern können
Sicherheitsfaktor Endgeräteschutz: Wie Sie den Mac umfassend absichern können

Das Thema Endgeräteschutz ist für die Unternehmenssicherheit entscheidend. Um Mac Geräte umfassend abzusichern, bietet Jamf die Lösung Jamf Protect an.

Lesedauer: 2 Min.

it-sa 2019: Lisa Unkelhäußer (IBM) über die Bedeutung von SIEM
it-sa 2019: Lisa Unkelhäußer (IBM) über die Bedeutung von SIEM

Lisa Unkelhäußer (Security Channel Leader DACH) von IBM im Interview mit Werner Schwarz (Vice President, CANCOM) anlässlich der it-sa 2019.

Lesedauer: 3 Min.

"Firmen haben jederzeit die volle Kontrolle über die eingesetzten Cloud-Lösungen"
“Firmen haben jederzeit die volle Kontrolle über die eingesetzten Cloud-Lösungen”

Im Interview beschreibt Experte Lothar Geuenich die Anforderungen und Leistungen von Check Point und CANCOM im Bereich Cloud Security.

Lesedauer: 3 Min.

So gelingt die sichere Authentifizierung
So gelingt die sichere Authentifizierung

Mitarbeiter müssen heute von überall sicher auf Daten zugreifen können. Damit das gelingt, ist es ratsam, auf die biometrische Authentifizierung zu setzen.

Lesedauer: 3 Min.

Identity & Access Management: In Zeiten von Remote Work nicht mehr wegzudenken
Identity Access Management: In Zeiten von Remote Work nicht mehr wegzudenken

Wieso Identity Access Management besonders für den flexiblen Arbeitsplatz eine wichtige Rolle spielt, erfahren Sie im Beitrag.

Lesedauer: 4 Min.

Wie Zero Trust die IT-Sicherheit erhöht
Wie Zero Trust die IT-Sicherheit erhöht

Eine Möglichkeit, die IT-Sicherheit zu erhöhen, ist der Zero Trust-Ansatz. Erfahren Sie, was dahinter steckt, und wie Unternehmen diesen praktisch umsetzen.

Lesedauer: 3 Min.

Die Zwei-Faktor-Authentifizierung als zusätzliche Absicherung der Daten
Die Zwei-Faktor-Authentifizierung als zusätzliche Absicherung der Daten

Im Internet befinden sich unendlich viele sensible Daten. Die Zwei-Faktor-Authentifizierung ermöglicht es, diese Daten noch besser vor Hackern zu schützen.

Lesedauer: 2 Min.

mobile-sicherheit-google-pixel
So möchte Google die mobile Sicherheit erhöhen

Mobile Sicherheit ist für Firmen ein zentrales Thema. Google weiß das genau – und stattet die Pixel 8-Smartphones mit einer Reihe von Security-Funktionen aus.

Lesedauer: 3 Min.

Riesige illegale Datensammlung im Netz aufgetaucht
Riesige illegale Datensammlung im Netz aufgetaucht

Der IT-Sicherheitsexperte Troy Hunt hat eine gewaltige Sammlung an gestohlenen Log-in-Informationen gefunden. Millionen Nutzer sind betroffen.

Lesedauer: 2 Min.

Authentifizierung ohne Passwort: Das bieten Gesichtserkennung und Co.
Authentifizierung ohne Passwort: Das bieten Gesichtserkennung und Co.

Bis heute sind Passwörter in Unternehmen nicht wegzudenken. Doch die Alternativen häufen sich. Die Redaktion von CANCOM.info zeigt drei Alternativen zum Passwort im Überblick.

Lesedauer: 2 Min.

So erhöhen Sie die Netzwerksicherheit im Rechenzentrum
So erhöhen Sie die Netzwerksicherheit im Rechenzentrum

Damit Unternehmen das Netzwerk in ihrem Data Center umfassend schützen können, kommen sie nicht umhin, traditionelle Sicherheitsmaßnahmen zu überdenken.

Lesedauer: 3 Min.

Wie Unternehmen eine umfassende Endpoint Security realisieren
Wie Unternehmen eine umfassende Endpoint Security realisieren

Das Thema Endpoint Security ist für Firmen heute entscheidend. Bei der Umsetzung besteht allerdings Luft nach oben. Hier möchte CANCOM Abhilfe schaffen.

Lesedauer: 4 Min.

Umfassende Netzwerksicherheit im Rechenzentrum: Diese Maßnahmen sind essenziell
Umfassende Netzwerksicherheit im Rechenzentrum: Diese Maßnahmen sind essenziell

Angesichts zunehmender Cyberangriffe ist es für Unternehmen entscheidend, im Data Center eine ganzheitliche Netzwerksicherheit zu gewährleisten.

Lesedauer: 3 Min.

Zero Trust-Strategie: Was dahintersteckt und wie die Umsetzung gelingt
Zero Trust-Strategie: Was dahintersteckt und wie die Umsetzung gelingt

Vertrauen ist gut, Kontrolle ist besser: Immer mehr Firmen möchten die Zero Trust-Strategie anwenden, um insbesondere Netzwerkzugriffe abzusichern.

Lesedauer: 3 Min.

Skalierbar, proaktiv und netzwerkübergreifend: So wehren Sie Cyberbedrohungen in erster Instanz ab
Skalierbar, proaktiv und netzwerkübergreifend: So wehren Sie Cyberbedrohungen in erster Instanz ab

Cloud Security-Plattformen können wesentlich zu einer umfassenden Netzwerksicherheit im Unternehmen beitragen.

Lesedauer: 2 Min.

Die drei Säulen moderner Endpoint Security
Die drei Säulen moderner Endpoint Security

Moderne Endpoint Security schützt Unternehmen und ihre Endgeräte – ganz gleich, wo sie eingesetzt werden. Dies ist für Firmen heute unerlässlich.

Lesedauer: 2 Min.

So schützen Sie Ihren Mac optimal
So schützen Sie Ihren Mac optimal

Der Mac ist sicher – aber das Sicherheitsrisiko steigt. Erfahren Sie, wie Sie sich und Ihren Mac optimal vor Malware und Cyberangriffen schützen können.

Lesedauer: 2 Min.

Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends
Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends

Die Coronakrise hat eine Zunahme der Cyberkriminalität bewirkt. Welche Methoden die Angreifer häufig nutzen, haben die Analysten von Securonix untersucht.

Lesedauer: 3 Min.

Die Entzauberung des Passwort-Mythos
Die Entzauberung des Passwort-Mythos

Unsere Experten Marcel Reifenberger und Callum Butler geben Ihnen Tipps, wie Sie Ihre Systeme sicher machen – und räumen dabei mit gängigen Kennwort-Klischees auf.

Lesedauer: 4 Min.

Wie Endpoint-Detection-and-Response-Lösungen Smartphone & Co. vor Cyberbedrohungen schützen
Wie Endpoint-Detection-and-Response-Lösungen Smartphone & Co. vor Cyberbedrohungen schützen

In Zeiten mobilen Arbeitens häufen sich Cyberattacken auf Smartphones. Mobile EDR soll Abhilfe schaffen – indem auch komplexe Angriffe abgewehrt werden.

Lesedauer: 3 Min.

Effektiver Schutz vor Ransomware
Effektiver Schutz vor Ransomware

Ransomware gehört aktuell zu den größten Bedrohungen für die Firmensicherheit überhaupt. Doch welche Mittel sind nötig, um sich vor Ransomware zu schützen?

Lesedauer: 3 Min.

Wie Social Media Plattformen Unternehmen gefährden
Wie Social Media Plattformen Unternehmen gefährden

Fast jedes Unternehmen nutzt heute Social Media Plattformen. Allerdings können diese zum ernsthaften Sicherheitsrisiko werden – so eine aktuelle Studie.

Lesedauer: 2 Min.

So stellen Sie Ihren Mitarbeitern einen sicheren Fernzugriff bereit
So stellen Sie Ihren Mitarbeitern einen sicheren Fernzugriff bereit

In vielen Unternehmen hat die Remote-Arbeit stark zugenommen. Um hier die Security zu gewährleisten, ist vor allem ein sicherer Fernzugriff essenziell.

Lesedauer: 3 Min.

sap-systemhärtung
„Es reicht nicht aus, die SAP-Systemhärtung einmalig durchzuführen – man muss es kontinuierlich tun“

Firmen mit SAP-Lösungen kommen um eine SAP-Systemhärtung nicht herum. Was dabei zu beachten ist, erklärt CANCOM-Experte Joachim Misselbeck im Interview.

Lesedauer: 4 Min.

Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“
Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“

CANCOM-Partner Trend Micro verfolgte auf der it-sa 2019 in Nürnberg einen ganzheitlichen Ansatz, das weit über das Thema Cloud Security hinausging.

Lesedauer: 3 Min.

Was Security Operations Center leisten können
Was Security Operations Center leisten können

Unternehmen befassen sich zunehmend mit der Einführung eines Security Operations Centers (kurz: SOC). Wir geben Ihnen einen Überblick, was ein solches SOC leisten kann.

Lesedauer: 3 Min.

USB-Sticks in Unternehmen: So reduzieren Sie das Sicherheitsrisiko
USB-Sticks in Unternehmen: So reduzieren Sie das Sicherheitsrisiko

Selbst in Zeiten der Cloud bleibt der USB-Stick ein treuer Begleiter im Berufsalltag. Allerdings können USB-Sticks den Gesamtbetrieb ernsthaft gefährden.

Lesedauer: 3 Min.

it-sa 2019: Portfolio von CANCOM Partner Cisco
it-sa 2019: Portfolio von CANCOM Partner Cisco

Auf der it-sa 2019 in Nürnberg präsentierte CANCOM-Partner Cisco Lösungen, die unter anderem Multi-Cloud-Umgebungen absichern.

Lesedauer: 1 Min.

Server-Sicherheit in Unternehmen muss ganzheitlich betrachtet werden
Server-Sicherheit in Unternehmen muss ganzheitlich betrachtet werden

Eine wirksame Server-Sicherheit ist für Firmen ein zentraler Baustein, um ihre IT abzusichern. Damit das gelingt, ist ein ganzheitlicher Ansatz nötig.

Lesedauer: 2 Min.

So setzen Unternehmen eine umfassende E-Mail-Sicherheit um
So setzen Unternehmen eine umfassende E-Mail-Sicherheit um

E-Mails werden häufig als Haupteinfallstor für Cyberattacken genutzt. Entsprechend bedeutend ist das Thema E-Mail-Sicherheit für den Schutz des Betriebs.

Lesedauer: 6 Min.