我们正在以“AI 人机协同 +SOAR”产品HoneyGuide的身份持续连载与 SOAR 相关的系列问题和解答。

HoneyGuide#SOAR-FAQ-16 问：没有 SIEM 或告警不准确还能用 SOAR 吗？

答：

SIEM（安全信息事件管理系统）、SOC 和态势感知等产品，通常是 SOAR 的上游系统。上游系统发现安全事件后，可以交由 SOAR 快速地开展事件处置。

因此就应急处置来看，事件告警越精准，越容易开展针对性的自动化应急响应。但这并不代表上游告警不准确或者客户环境没有类似的系统时，SOAR 就没有用武之地了。项目落地过程中，还可以通过以下措施来缓解或者优化：

• 对接收到的安全事件进行过滤，无论是来自 SIEM、SOC、态势感知或者单纯的日志系统。可根据匹配的事件类型、特征、严重度、优先级进行筛选，然后进行 SOAR 响应处置。

• 对安全告警进行去重：上游系统发送过来的很多安全告警往往是有重复的。SOAR 在接入层面通过归并去重技术，可以将事件工单的数量降低到可接受的水平。

• 很多 SIEM/SOC 等系统本身的误报率就很高，安全人员往往需要花大量的时间去分析和验证。通过 SOAR 产品可以加速原本需要人工开展的分析验证过程，将数十分钟的分析过程压缩到几分钟。加速安全分析过程本身也是 SOAR 的价值。

SOAR 以编排和自动化技术为核心，不仅可以用在单纯的事件响应环节，还可以应用在其它安全事件运营的场景中，如：响应、分析、诊断、协同、报告和定时任务等。

好了，本期就到这里。如果您有任何 SOAR 方面的问题，请给我们留言，HoneyGuide 一定会认真答复。咱们下期见！

合作机会

如果您想了解雾帜智能产品如何精准落地企业安全场景，加速应急响应，获取项目支持，欢迎扫扰：

往期参考

• 为什么你的应急响应需要 SOAR？
• 关键时刻，你需要一名智能队友！
• SOAR 产品落地金融行业案例分享 - 雾帜智能
• XX 利器-SOAR 在运营商重保场景中的应用实践
• SOAR 百问千答-01 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-01 问：什么样的用户需要用到 SOAR？
  • HoneyGuide#SOAR-FAQ-02 问：SOAR 的编排和流程编排有什么区别？
• SOAR 百问千答-02 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-03 问：SOAR 交付成本是不是很高？
  • HoneyGuide#SOAR-FAQ-04 问：SOAR 产品的核心技术有哪些？
• SOAR 百问千答-03 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-05 问：SIEM 和 SOAR 的区别是啥？
  • HoneyGuide#SOAR-FAQ-06 问：SOAR 产品如何调用外部安全能力？
• SOAR 百问千答-04 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-07 问：自动化脚本就可以实现的功能为什么需要 SOAR？
  • HoneyGuide#SOAR-FAQ-08 问：雾帜智能的 SOAR 能解决客户百分之多少的场景或工作量？
• SOAR 百问千答-05 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-09 问：什么样的场景适合 SOAR？
  • HoneyGuide#SOAR-FAQ-10 问：SOAR 的使用者是哪些人？
• SOAR 百问千答-06 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-11 问：安全作战室是什么？
  • HoneyGuide#SOAR-FAQ-12 问：为什么需要人机协同？
• SOAR 百问千答-07 期（雾帜智能）
  • HoneyGuide#SOAR-FAQ-13 问：SOAR 产品的自身安全性如何保证？
• SOAR 百问千答-08 期（雾帜智能）
  • 自动化运维与 SOAR 有什么区别？
• SOAR 百问千答 09 期（雾帜智能）
  • SOAR 与 RPA 有什么区别？

转载声明

本文转载自微信公众号： 雾帜智能，转载连接：https://mp.weixin.qq.com/s/3HLeXu0-Grxm11PohMHfkQ