Giải pháp Swimlane đáp ứng các thành phần thiết yếu của giải pháp SOAR đã được Gartner xác định là bốn thành phần chính:
Quy trình và phối hợp xử lý sự cố
- Swimlane SOAR giúp đưa các quy trình này (chỉ cần thông qua tác vụ kéo, thả) vào các kịch bản ứng phó sự cố thông qua công cụ quản lý quy trình. Việc này giúp đội bảo mật xây dựng các quy trình linh hoạt, riêng biệt hoặc tổng hợp với những hướng dẫn cụ thể, giúp quá trình phân tích, ứng phó trở nên đơn giản.
- Swimlane cung cấp sẵn một số quy trình phản ứng và có thể được sử dụng ngay. Các quy tắc kích hoạt quy trình được xây dựng dựa trên điều kiện do quản trị viên đặt ra. Khi có bất kỳ thay đổi, bổ sung nào đối với trường thông tin cụ thể, các quy tắc này sẽ được kích hoạt.
Quản lý ticket
- Swimlane cung cấp cho nhóm bảo mật một giải pháp thay thế cho các hệ thống quản lý ticket đã cũ. Với Swimlane SOAR, nhân sự bảo mật có thể:
+ Được giao nhiệm vụ với thời hạn cụ thể (tự động hoặc thủ công)
+ Theo dõi quá trình xử lý sự cố
+ Quản lý, tìm kiếm sự cố bằng bộ lọc mạnh mẽ và linh hoạt
Điều phối và tự động hóa
- Swimlane SOAR tích hợp các công cụ bảo mật khác nhau trong SOC thông qua các công cụ kết nối hoặc REST API, cho phép điều phối các công cụ này và mở rộng giải pháp SOAR. Từ đó Swimlane SOAR trở thành trung tâm xử lý sự cố duy nhất trong hệ sinh thái bảo mật.
- Swimlane SOAR có hệ sinh thái các ứng dụng tích hợp giúp tự động hóa và điều phối tốt nhất trong ngành bao gồm hơn 200 ứng dụng đã được Swimlane xác thực và rất nhiều các ứng dụng cộng đồng khác trên apphub.swimlane.com.
Thông tin về mối đe dọa
- Swimlane SOAR tích hợp với các nguồn cấp dữ liệu tình báo về mối đe dọa để giảm thời gian điều tra bằng cách làm giàu thêm các sự cố và xác định mối quan hệ với các sự cố khác. Với các nguồn thông tin về các mối đe dọa được cấu hình trước từ rất nhiều nguồn như Group-IB, Recorded Future, Mandiant, MISP… nhân sự bảo mật có thể tự động làm giàu thêm các sự cố được tạo từ các công cụ tích hợp như SIEM, EDR.