什么是 SOAR？

除了核心技术之外，买方的决策过程还受到整体提供的因素和服务的严重影响。随着威胁和警报数量的增加以及缺乏解决所有这些警报的资源，分析师不仅被迫决定哪些警报应该认真对待并采取行动，哪些可以忽略，而且他们经常过度劳累，以至于他们有可能错过真正的威胁，并最终在尝试响应威胁和不良代理时犯下大量错误。云感知事件响应 - 使用来自以云为中心的威胁检测和事件日志记录工具的数据，统一跨云和本地安全基础设施的流程，与

沛沛老爹

2091人浏览 · 2024-09-26 20:27:23

沛沛老爹 · 2024-09-26 20:27:23 发布

安全编排、自动化和响应（SOAR）技术有助于在单个平台内协调、执行和自动化各种人员和工具之间的任务。这使组织不仅可以快速响应网络安全攻击，还可以观察、理解和预防未来的事件，从而改善其整体安全态势。

根据 Gartner 的定义，全面的 SOAR 产品旨在根据三个主要软件功能运行：威胁和漏洞管理、安全事件响应和安全运营自动化。

威胁和漏洞管理（编排）涵盖有助于解决网络威胁的技术，而安全运营自动化（自动化）涉及在运营中实现自动化和编排的技术。

SOAR 提取警报数据，然后这些警报触发自动化/编排响应工作流或任务的 playbook。然后，通过结合人工学习和机器学习，组织能够分析这些不同的数据，以便理解针对任何未来威胁的自动事件响应行动并确定其优先级，从而创造一种更高效和有效的方法来处理网络安全和改善安全运营。

图 1：用于恶意软件分析的 SOAR 示例手册

什么是 SIEM？

SIEM 代表安全信息和事件管理。它是帮助安全团队或安全运营中心（SOC）收集和分析安全数据以及创建策略和设计通知的服务和工具的安排。SIEM 系统使用以下功能来管理安全信息和事件：数据收集、整合和关联，以及在单个事件或事件安排触发 SIEM 规则时发出通知。组织还设置了与其特定安全问题相一致的策略，例如规则、报告、警报和仪表板。

SIEM 工具使 IT 团队能够：

使用事件日志管理整合来自多个来源的数据
实时获得组织范围的可见性
使用 if-then 规则关联从日志中收集的安全事件，以有效地向数据添加可操作的情报
使用可通过控制面板管理的自动事件通知

SIEM 结合了安全信息和安全事件的管理。这是通过实时监控和系统管理员的通知来实现的。

SOAR 与 SIEM

许多人将 SOAR 和 SIEM 定义为类似的产品，因为两者都可以检测安全问题并收集有关问题性质的数据。他们还处理安全人员可以用来解决问题的通知。但是，它们之间存在显着差异。

SOAR 使用类似于 SIEM 的集中式平台收集数据并提醒安全团队，但 SIEM 仅向安全分析师发送警报。但是，SOAR 安全通过使用自动化手册或工作流和人工智能（AI）来学习模式行为，从而使其能够在类似威胁发生之前预测它们，从而增加对调查路径的自动化和响应。

由于 SOAR（如 Cortex XSOAR）通常从 SIEM 未涵盖的来源（例如漏洞扫描结果、云安全警报和 IoT 设备警报）提取警报，因此更容易删除重复警报，事实上，这是 SOAR 和 SIEM 集成的典型用例。这减少了手动处理警报所需的时间，使 IT 安全人员更容易检测和解决威胁。

深入了解 SOAR 与 SIEM 的基本特征，了解这些平台如何增强安全性：SOAR 与 SIEM：有什么区别？

SOAR 与 SIEM 与 XDR

SOAR、SIEM 和扩展检测和响应（XDR）在网络安全领域各自具有不同的用途。它们通常一起使用以提供更全面的安全策略。SIEM 专注于日志分析和威胁检测，XDR 将检测扩展到多个层，而 SOAR 则自动执行和编排响应。

什么是 Security Orchestration and Automation？

安全自动化是基于机器执行安全操作的过程，能够检测、调查和修复网络威胁，而无需人工干预。它为 SOC 团队完成了大部分死记硬背的工作，因此他们不再需要在收到每个警报时进行筛选和手动处理。安全自动化可以：

检测环境中的威胁。
会审潜在威胁。
确定是否对事件执行操作。
遏制并解决问题。

所有这些都可以在几秒钟内完成，无需人工工作人员的任何参与。安全分析师不必按照步骤、说明和决策工作流程来调查事件并确定它是否为合法事件。重复、耗时的操作从他们手中解放出来，这样他们就可以专注于更重要、更有价值的工作。

安全编排是一系列相互依赖的安全操作（包括事件调查、响应和最终解决）的基于机器的协调，所有这些都在单个复杂的基础设施中进行。它可以确保您的所有安全和非安全工具协同工作，无论是跨产品和工作流程自动执行任务，还是手动提醒代理需要更多关注的重要事件。

安全编排可以：

为安全事件提供更好的上下文。安全编排工具聚合来自不同来源的数据，以提供更深入的洞察。因此，您可以获得整个环境的全面视图。
允许进行更深入、更有意义的调查。安全分析师可以停止管理警报并开始调查这些事件发生的原因。此外，安全编排工具通常提供高度交互和直观的仪表板、图表和时间表;这些视觉效果在调查过程中非常有用。
改善协作。其他方，包括不同级别的分析师、经理、CTO 和 C 级高管、法律团队和 HR，也可能需要参与某些类型的安全事件。安全编排可以将所有必要的数据放在每个人的指尖，从而更有效地进行协作、解决问题和解决问题。

最终，安全编排增加了防御的集成，使您的安全团队能够自动执行复杂的流程，并最大限度地提高您从安全人员、流程和工具中获得的价值。

自动化和编排有什么区别？

虽然安全自动化和安全编排是经常互换使用的术语，但这两个平台的作用却截然不同：

安全自动化减少了检测和响应重复事件和误报所需的时间，因此警报不会长时间未得到解决：
- 让安全分析师腾出时间专注于战略任务，例如调查研究。
- 每个自动化 playbook 都通过规定的操作方案解决已知场景。
安全编排允许您轻松共享信息，使多个工具能够作为一个组响应事件，即使数据分布在大型网络和多个系统或设备中也是如此：
- 安全编排使用多个自动化任务来执行完整、复杂的流程或工作流。
- SOAR 解决方案的优势在于其广泛的预构建集成，可加快和简化安全运营用例的部署。

安全自动化就是为了简化和提高安全操作的运行效率，因为它处理一系列单独的任务，而安全编排连接您所有不同的安全工具，以便它们相互配合，从头到尾创建一个快速高效的工作流程。它们配对在一起时效果最佳，而安全组在同时采用两者时可以最大限度地提高效率和生产力。

探索有效部署 SecOps 自动化以确保将 SOAR 顺利集成到现有操作中要遵循的步骤：部署 SecOps 自动化指南。

什么是威胁情报管理（TIM）？

结合安全编排、自动化和响应，SOAR 平台还可能包括添加威胁情报管理（TIM）。威胁情报管理（TIM）使组织能够更好地了解全球威胁形势，预测攻击者的下一步行动，并迅速采取行动阻止攻击。

威胁情报和威胁情报管理之间存在显著差异。威胁情报是有关威胁的数据和信息，而威胁情报管理是收集有关潜在攻击者及其意图、动机和能力的数据的收集、规范化、丰富和操作。这些信息可以帮助组织更快、更明智地做出安全决策，从而更好地为网络威胁做好准备。

为什么 SOAR 很重要？

在一个不断发展和日益数字化的世界中，当今的组织在网络安全方面面临着众多挑战。威胁越复杂和恶意，公司就越需要开发一种高效且有效的方法来应对其未来的安全运营。由于这一需求，SOAR 正在彻底改变安全运营团队管理、分析和响应警报和威胁的方式。

如今，安全运营团队的任务是每天手动处理数千个警报，这为错误和重大运营效率低下留下了空间，更不用说效率低下、孤立和过时的安全工具，以及严重缺乏合格的网络安全人才。

许多安全运营团队都在努力连接来自不同系统的噪音，导致太多容易出错的手动流程，并且缺乏解决所有这些问题的高技能人才。

随着威胁和警报数量的增加以及缺乏解决所有这些警报的资源，分析师不仅被迫决定哪些警报应该认真对待并采取行动，哪些可以忽略，而且他们经常过度劳累，以至于他们有可能错过真正的威胁，并最终在尝试响应威胁和不良代理时犯下大量错误。

因此，组织拥有系统（如 SOAR 平台）至关重要，这些系统使他们能够系统地编排和自动化其警报和响应流程。通过筛选出占用最多时间、精力和资源的平凡任务，安全运营团队在处理和调查事件时更加有效和富有成效，从而能够大大改善组织的整体安全状况。

SOAR 使您能够：

集成安全、IT 运营和威胁情报工具。您可以连接所有不同的安全解决方案（甚至是来自不同供应商的工具），以实现更全面的数据收集和分析水平。安全团队可以停止使用各种不同的控制台和工具。
在一个位置查看所有内容。您的安全团队可以访问单个控制台，该控制台提供调查和修复事件所需的所有信息。安全团队可以访问一个位置来访问他们需要的信息。
加快事件响应速度。事实证明，SOAR 可以缩短平均检测时间（MTTD）和平均响应时间（MTTR）。由于许多操作都是自动化的，因此可以立即自动处理大部分事件。
防止耗时的操作。SOAR 大大减少了误报、重复性任务和手动流程，这些都会占用安全分析师的时间。
获得更好的情报。SOAR 解决方案汇总和验证来自威胁情报平台、防火墙、入侵检测系统、SIEM 和其他技术的数据，为您的安全团队提供更深入的洞察和背景信息。这使得解决问题和改进实践变得更加容易。当问题出现时，分析师能够更好地进行更深入、更广泛的调查。
改进报告和沟通。由于所有安全运营活动都集中在一个位置并显示在直观的控制面板中，利益相关者可以收到他们需要的所有信息，包括帮助他们确定如何改进工作流程和缩短响应时间的明确指标。
提高决策能力。SOAR 平台旨在通过提供预构建手册、拖放功能（从头开始构建手册）和自动警报优先级等功能，即使对于经验不足的安全分析师也是如此。此外，SOAR 工具可以收集数据并提供见解，使分析师更容易评估事件并采取正确的措施来补救事件。

拥有和使用 SOAR 的价值

公司和组织发现了 SOAR 的价值，因为它最大限度地减少了各种类型安全事件的影响，同时最大限度地提高了现有安全投资的价值，并降低了法律责任和整体业务停机的风险。SOAR 帮助公司应对和克服安全挑战，使他们能够：

统一现有的安全系统并集中数据收集以获得完全可见性，从而大大改善公司的安全态势以及运营效率和生产力。
自动执行重复的手动任务并管理安全事件生命周期的各个方面，从而提高分析师的工作效率，并使分析师能够专注于提高安全性，而不是执行手动任务。
定义事件分析和响应程序，并利用安全手册，以一致、透明和记录的方式对响应流程进行优先级排序、标准化和扩展。
由于分析师能够快速准确地识别事件严重性级别并将其分配给安全警报，从而减少警报并缓解警报疲劳，因此可以更快地响应事件。
简化流程和操作，以更好地主动和被动地识别和管理潜在漏洞。
通过将每个安全事件路由到最适合响应它的分析师，同时提供支持团队和团队成员之间轻松沟通和跟踪的功能，支持实时协作和非结构化调查。

评估您的潜在运营效率提升：下载您的综合报告。

SOAR 使用案例

下表提供了 SOAR 的常见使用案例示例。

用例	编排的帮助（高级概述）
处理安全警报	网络钓鱼扩充和响应 - 摄取潜在的网络钓鱼电子邮件;触发 playbook;自动化和执行可重复的任务，例如对受影响的用户进行分类和吸引;提取和检查指标;识别误报;以及为 SOC 的大规模标准化响应做好准备。端点恶意软件感染 - 从端点工具中提取威胁源数据，丰富该数据，使用安全信息和事件管理（SIEM）解决方案交叉引用检索到的文件/哈希值，通知分析师，清理端点，并更新端点工具数据库。失败的用户登录 - 在预定义的失败用户登录尝试次数后，通过触发 playbook、吸引用户、分析其回复、过期密码和关闭 playbook 来评估失败的登录是真实的还是恶意的。从异常位置登录 - 通过检查 VPN 和云访问安全代理（CASB）是否存在、交叉引用 IP、确认用户违规、发出阻止和关闭手册来识别潜在的恶意虚拟专用网络（VPN）访问尝试。
管理安全操作	安全套接字层（SSL）证书管理 - 检查终端节点以查看哪些 SSL 证书已过期或即将过期，通知用户，几天后重新检查状态，将问题上报给适当的人员并关闭手册。端点诊断和启动——检查连接和代理连接、丰富上下文、打开工单、启动代理和关闭手册。漏洞管理 - 提取漏洞和资产信息，丰富端点和常见漏洞和披露（CVE）数据，查询漏洞上下文，计算严重性，将控制权移交给安全分析师进行补救和调查，以及关闭手册。
搜寻威胁和响应事件	入侵指标（IOC）搜寻 - 从附件中接收和提取 IOC、跨威胁情报工具搜寻 IOC、更新数据库和关闭手册。恶意软件分析 - 从多个来源提取数据、提取和引爆恶意文件、生成和显示报告、检查恶意、更新数据库以及关闭手册。云感知事件响应 - 使用来自以云为中心的威胁检测和事件日志记录工具的数据，统一跨云和本地安全基础设施的流程，与 SIEM 关联，提取和丰富指标，检查恶意，将控制权移交给分析师并让他们审查信息，更新数据库，并关闭手册。
自动扩充数据	IOC 丰富 - 从多个来源提取数据，提取任何需要引爆的指标，丰富 URL、IPS 和哈希值;检查恶意，更新数据库，邀请分析师查看和调查信息，并关闭 playbook。分配事件严重性 - 检查其他产品的漏洞评分并查看是否已为现有指标分配分数、分配严重性、检查用户名和终端节点以查看它们是否在严重列表中、分配严重性以及关闭事件。

在 SOAR 平台中寻找什么

既然您已经能够定义 SOAR 并了解它的不同功能，那么您如何知道哪种 SOAR 产品适合您组织的需求？您应该在 SOAR 平台中寻找什么？

在比较不同的 SOAR 提供商时，在做出决定之前，您需要考虑一些不同的因素。除了核心技术之外，买方的决策过程还受到整体提供的因素和服务的严重影响。在实施任何 SOAR 产品之前，组织应考虑的一些因素包括评估自身的成熟度、所需的技术集成和工具堆栈、现有流程以及他们选择的部署方法。

在组织对其安全状态进行内部审计后，它必须考虑与 SOAR 产品本身有关的因素。注意事项如下：

易于使用和与其他工具的连接性：安全编排工具应充当检测、扩充、响应和相关工具之间的连接纤维。
组织应努力实现最终状态场景，其中 SOAR 工具从他们当前部署的检测工具中提取警报，并执行自动化 playbook，以协调扩充、响应和相关工具之间的操作。

可以从平台内执行多少个命令或操作？集成是否能够解决以下重点领域？这些包括：
- 分类和映射
- 检测和监控
- 数据扩充和威胁情报源
- 执行和响应
自定义集成功能：平台是否具有构建自定义集成的机制（例如，内部 SDK）？平台载入期是否包括来自服务团队的自定义集成支持？这些服务是附加的还是包含在产品购买价格中？
开箱即用（OOTB）/预构建集成：平台有多少个集成（类别的广度和每个类别的深度）？随着时间的推移，新的集成是否会添加到平台中？以什么频率？这些更新是免费的还是附加服务？
事件和案例管理：该平台是否具有本机案例管理或与相关案例管理工具集成？该平台是否支持重建事件时间线？该平台是否支持事后记录和审查？平台是否创建审计跟踪以突出数据流并保持问责制？
与威胁情报集成：威胁情报是基于证据的知识，包括有关现有或新出现的资产威胁或危害的上下文、机制、指标、影响和以行动为导向的建议。集成了威胁情报的 SOAR 平台可以利用收集到的知识来帮助 SOC 团队就外部威胁对其环境的影响做出明智的决策。通过将外部威胁情报映射到网络中发生的事件，有可能发现以前未检测到的恶意活动，从而加快事件调查速度。自动化工作流程支持将相关威胁情报可扩展且实时地分发到实施点。
工作流和 playbook 功能：平台是否具有工作流功能（基于可视化任务的流程）？平台是否显示每个事件的实时 playbook 运行？平台是否支持 playbook 的嵌套？该平台是否支持创建自定义 playbook 任务（自动和手动）？平台是否支持跨 playbook 传输自定义任务？
部署灵活性：组织用于开展业务和保护数据的技术不断处于发展和变化的状态。面对所有这些移动部分，在选择安全编排工具时，敏捷性和可扩展性至关重要，这在很大程度上取决于可用部署选项的灵活性以及这些选项如何与组织内的其他工具和要求保持一致。
该平台具有哪些灵活的部署选项？该平台是否专为多租户而设计，是否具有支持跨组织网络通信的网络分段所需的安全性？该平台是否具有跨多个租户的水平可扩展性和一定程度的保证高可用性？
定价：在选择安全编排工具之前，请考虑哪种定价方法最适合您的整体预算流程。当今市场上流行的定价方法如下：
- 按操作或自动化定价
- 每个节点或终端节点的定价
- 年度订阅，为其他管理员用户提供附加价格
其他服务和建议：除了 SOAR 的核心竞争力外，公司还提供哪些其他差异化资源，使您的组织受益？
专业服务：公司是否为客户提供专业服务，确保从头到尾成功部署？
售后支持：安装后公司提供什么样的支持？公司是否提供您和您的组织所需的支持类型？