soar platform phantom

➡ SOARing Platform
SOAR ဆိုတာ Security Orchestration, Automation And Respond ကိုပြောတာပါ။ SOAR နည်းပညာဟာ Security Incident တွေကို Handle လုပ်တဲ့နေရာမှာ Human Effort မပါဘဲ အလျင်မြန်ဆုံးပြုလုပ်နိုင်ဖို့ ရည်ရွယ်ပါတယ်။ SOC တွေမှာ Automation ပိုင်းကိုသွားဖို့ ရည်ရွယ်ပါတယ် ဆိုပါစို့။ သင်က Security Analysis တစ်ယောက်၊ သင်တို့ရုံးမှာ ရှိတဲ့ Exchange Email Server ကနေ User တစ်ယောက်စီဝင်လာတဲ့ Email တစ်စောင်ရဲ့ Attached File ကို မသင်္ကာလို့ စစ်ဆေးချင်တယ်။ ဒါဆိုရင် သင့်အနေနဲ့ ပထမဆုံး Email ရဲ့ Attach File ကို ဖြည်မယ်။ ပြီးရင် Cloud Based (သို့) On-Premise မှာ ရှိတဲ့ Sandbox ထဲပို့ ပြီး Activity ကို Monitor လုပ်မယ်။ ပြီးရင် Reputation နိမ့်တဲ့ IP ကလာတာလား၊ ဆိုတာမျိူးတွေကို စစ်မယ်။ 
‍‍‍‍‍‍ 
Email Attach File မှာ Malware တွေ့လို့ဘဲဖြစ်ဖြစ် ၊ IP က Bad IP ဖြစ်လို့ဘဲဖြစ်ဖြစ် ဒီ Source IP ကို Banned မယ်ဆိုရင် Edge Firewall မှာ ACL ရေးတာအစရှိတဲ့ Process တွေကို ဆက်လုပ်ရမှာပါ။ ဒီလို Manual Process တွေနဲ့သွားမယ်ဆိုရင် Human Resource လိုအပ်မှုများသလို MTTR (Mean Time To Repair) ကြာချိန်လဲ မြင့်မှာပါ။ မိနစ် ၃၀ ကနေ ၄၅ မိနစ်လောက်ထိ ပုံမှန်အားဖြင့် အချိန်ယူရပါတယ်။ ဒီအချိန်အတိုင်းအတာဟာ SOC တချိူ့အတွက် လက်သင့်ခံနိုင်စရာ အချိန်အတိုင်းအတာတစ်ခုမဟုတ်ပါဘူး။ ဒီတော့ SOC တွေအတွက် Manual Incident Management Process တွေ နေရာမှာ Automation And Orchestration လုပ်ပေးနိုင်မယ့် SOAR Technology အခြေပြုsecurity Products တွေ ထွက်ပေါ်လာပါတယ်။
‍‍‍‍‍‍ 
ကမ္ဘာ့ Big Data Analytics ဈေးကွက်မှာ နာမည်ကြီး ကုမ္ပဏီတစ်ခုဖြစ်တဲ့ Splunk ဟာ SOAR Platform တစ်ခုဖြစ်တဲ့ Phantom ကို USD 350 million နဲ့ဝယ်ယူကာ Splunk Phantom SOAR နည်းပညာကိုမိတ်ဆက်ခဲ့ပါတယ်။ အလွန်စိတ်ဝင်စားစရာကောင်းတဲ့ နည်းပညာတစ်ခုပါ။ ဒီ Splunk Phantom ကို ဥပမာထားပြီး SOAR နည်းပညာအကြောင်းကို ပြောပြပေးသွားပါ့မယ်။ ဒီနည်းပညာမှာ အဓိကအားဖြင့် အပိုင်း (၅)ပိုင်း ပါဝင်ပါတယ်။
‍‍‍‍‍‍ 
✔ Data Source
Splunk Phantom ဆီကို Input အဖြစ်ထည့်ပေးရမည့် Data တွေပါ။ Vulnerability, Email, API, Message, SIEM, Threat Intelligence စတဲ့စတဲ့အချက်အလက်တွေကို Add ပေးရမှာပါ။ Phantom ကို ဒီ Data Source တွေကို အသုံးပြုပြီး Incident တွေကို စစ်ဆေးသွားမှာပါ။
‍‍‍‍‍‍ 
✔ Playbook
Playbook ဆိုတာ SecOps လုပ်ဖို့အတွက် ပြုလုပ်ထားတဲ့ Python script လေးတွေပါ။ Phantom က ဒီ Playbook ကလာတဲ့ Instruction တွေကို Translate လုပ်ကာ Action တွေအဖြစ် ပြောင်းလဲပေးနိုင်ပါတယ်။ ဒီ Playbook လေးတွေရဲ့ Instruction တွေအတိုင်း Phantom က Incident တွေကို Security Device တွေနဲ့ ပူးပေါင်းပြီး လုပ်ဆောင်သွားမှာပါ။ ဒီ Playbook Instruction တွေကို User က ကိုယ့်စိတ်ကြိုက်ရေးနိုင်ပါတယ်။
‍‍‍‍‍‍ 
✔ Action
အဓိက လုပ်ဆောင်မှုတွေဖြစ်ပါတယ်။ Playbook ထဲမှာ ပါဝင်တဲ့ Instruction တွေရဲ့လုပ်ဆောင်မှု တွေဖြစ်ပါတယ်။ Playbook ထဲမှာပါတဲ့ Instruction တွေဟာ ကျွန်တော်တို့ Infra ထဲမှာရှိတဲ့ Security Device တွေ၊ Data Source တွေနဲ့ ပူးပေါင်းပြီး လုပ်ဆောင်သွားနိုင်ပါတယ်။ ဥပမာ ဝင်လာတဲ့ Email ရဲ့ Attach File ကို Hash လုပ်ပြီး Virustotal လို Threat Intelligence တွေနဲ့ တိုက်စစ်တာမျိူးဖြစ်ပါတယ်။
‍‍‍‍‍‍ 
✔ Phantom App
Security Devices တွေနဲ့ Phantom တို့ကြားက ဆက်သွယ်ပေးမယ့် App လေးတွေပါ။ ဆိုပါတော့။ ကျွန်တော်က Playbook မှာ Malware Attach File ပို့လိုက်တဲ့ Email ရဲ့ Sender Domain ကို Palo Alto Firewall မှာ သွား Block မယ်ဆိုတဲ့ Action လုပ်ထားတယ်။ တစ်နေ့ ဒီလို Malware ပါတဲ့ Email ကို Phantom ကတွေ့ပြီ၊ ဒီတော့ စောစောက Playbook ကို ဆက်run တယ်။ Playbook ရဲ့ Action က Email Sender ရဲ့ Domain (သို့) IP ကို Block ရမယ်ဆိုတော့ Phantom အနေနဲ့ PA Firewall နဲ့ Orchestration လုပ်ဖို့ လိုပြီ။ Phantom အနေနဲ့ PA ကိုသွား Action ပေးနိုင်ဖို့ ဒီ PA အတွက် ထုတ်ပေးထားတဲ့ Phantom App ကို Install လုပ်ပေးထားရမှာပါ။
‍‍‍‍‍‍ 
✔ Asset
Asset ဆိုတာကတော့ Phantom နဲ့ Orchestration လုပ်မယ့် Security Devices တွေပါ။ စောစောက ကျွန်တော်ပြောခဲ့တဲ့ ဥပမာအရ Malware Attach လုပ်ပြီး ပို့လိုက်တဲ့ Email Sender ရဲ့ IP (Or) Domain ကို တကယ်တမ်းသွားပိတ်ပေးတဲ့ Palo Alto Firewall ဟာ Asset ဖြစ်ပါတယ်။
‍‍‍‍‍‍ 
အခုဆိုရင် SOARING နည်းပညာအကြောင်း အကြမ်းဖျဉ်းအားဖြင့်သိလောက်ပြီလို့ ထင်ပါတယ်။ Data Value တန်ဖိုးအရမ်းကြီးပြီး Incident တွေကိုအလျင်မြန်ဆုံး ကိုင်တွယ်ဖြေရှင်းနိုင်ဖို့ လိုအပ်တဲ့ Environment တွေမှာ အသုံးပြုဖို့အတွက် ရည်ရွယ်ပါတယ်။
‍‍‍‍‍‍ 
✍ AUTHOR : Ye Myo Thu‍‍‍‍‍‍ 

Don’t forget to share this post!