SOAR资讯 【转载】没有 SIEM 或告警不准确还能用 SOAR 吗?(SOAR 百问千答 10 期)

poker · 2021年02月03日 · 76 次阅读

我们正在以“AI 人机协同 +SOAR”产品HoneyGuide的身份持续连载与 SOAR 相关的系列问题和解答。

HoneyGuide#SOAR-FAQ-16 问:没有 SIEM 或告警不准确还能用 SOAR 吗?

答:

SIEM(安全信息事件管理系统)、SOC 和态势感知等产品,通常是 SOAR 的上游系统。上游系统发现安全事件后,可以交由 SOAR 快速地开展事件处置。

因此就应急处置来看,事件告警越精准,越容易开展针对性的自动化应急响应。但这并不代表上游告警不准确或者客户环境没有类似的系统时,SOAR 就没有用武之地了。项目落地过程中,还可以通过以下措施来缓解或者优化:

  • 对接收到的安全事件进行过滤,无论是来自 SIEM、SOC、态势感知或者单纯的日志系统。可根据匹配的事件类型、特征、严重度、优先级进行筛选,然后进行 SOAR 响应处置。

  • 对安全告警进行去重:上游系统发送过来的很多安全告警往往是有重复的。SOAR 在接入层面通过归并去重技术,可以将事件工单的数量降低到可接受的水平。

  • 很多 SIEM/SOC 等系统本身的误报率就很高,安全人员往往需要花大量的时间去分析和验证。通过 SOAR 产品可以加速原本需要人工开展的分析验证过程,将数十分钟的分析过程压缩到几分钟。加速安全分析过程本身也是 SOAR 的价值。

SOAR 以编排和自动化技术为核心,不仅可以用在单纯的事件响应环节,还可以应用在其它安全事件运营的场景中,如:响应、分析、诊断、协同、报告和定时任务等。

好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。咱们下期见!

合作机会

如果您想了解雾帜智能产品如何精准落地企业安全场景,加速应急响应,获取项目支持,欢迎扫扰:

往期参考

转载声明

本文转载自微信公众号: 雾帜智能,转载连接:https://mp.weixin.qq.com/s/3HLeXu0-Grxm11PohMHfkQ

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册