对于所有人来讲，2020 年就像坐了一次云霄飞车，而面对 2021，未知和挑战依旧无法消散。安全专家以及安全运营中心 (SOC) 将不得不面对新一轮挑战，包括那些与疫情相关的钓鱼攻击以及居家办公带来的日益增多的安全风险。更糟糕的是，新威胁的出现并不能就此削弱原有风险，面对此起彼伏的安全威胁、海量工作负载以及日益加速的倦怠率，安全团队已有点应接不暇。

居家办公环境无法长期持续，安全团队必须找到全新方法来应对不断出现的威胁和安全警报。很久以前安全专家们就认识到这一问题，2020 年则让这种认识更加深刻，即将安全编排、自动化与响应工具引入系统有助于降低工作负载、加速事件响应、自动化警报分类、调查以及响应。

Gartner 在其 2020 版 SOAR 市场指南中，列举了其对 SOAR 解决方案必备功能、技术趋势、市场前景等相关话题的主要观点，并认定 Splunk Phantom 在一系列 SOAR 供应商中具有广泛的代表性，符合 Gartner 对 “远见者” 的定义。

让我们看一下 Gartner 报告的主要观点：

01

” 对于 SOAR 工具来讲，编排与自动化、基础性事件/案例管理，以及具有可操作性的威胁情报都可以当作’ 桌面筹码 ‘来使用。“

对于许多安全团队来说，采用 SOAR 的目的是为了减少警报疲劳、缩短平均响应时间以及降低负载总量。采用了编排与自动化技术后，安全专家不用再花费数个小时在多个单点产品之间进行手动操作，从而实现对威胁的调查和修复。另外，SOAR 工具无需人工干预，可以在短短几秒之内在不同产品之间实现自动化操作，一方面节省了时间，另一方面也将安全专家解放出来，将更多精力放在更重要的工作上。

此外，包括警报自动分类在内的诸多功能，可以帮助安全专家对较高的风险警报进行优先级排序，而案例管理功能可以帮助安全专家实施更加快速地综合性调查与响应。威胁情报自动功能可以帮助安全专家基于数据制定出更加合理的决策。

Gartner 对 SOAR 功能评估提出了诸多建议，基于这些建议 Splunk Phantom 提供以上全部功能，甚至更多，其中包括：

• 完全集成式情报助手，借助机器学习提供调查、控制以及消除安全事故的专业建议
• 虚拟剧本编辑器，配备拖拽功能可轻松创建剧本
• 可重复使用的模块化工作手册，提供定制化流程文件模板
• 定制化功能模块可轻松实现剧本的创建和执行

02

SOAR 工具主要还是由那些部署有安全运营中心的组织所使用。除了支持威胁监控与检测、威胁情报以外，用例还支持安全运营，而事件响应和威胁狩猎这一功能尚处于完善之中。

Splunk Phantom 客户主要使用的安全用例包括：警报分类、恶意软件响应、钓鱼邮件分类等。当前，市场上用于编排和自动化的绝大多数用例都与安全相关，但我们的客户也可以将 Splunk Phantom 应用于非安全用例，如 ticket 创建和处理、安全监控与调查以及网络接入控制。

03

“安全信息与事件管理供应商仍在借助并购、OEM 或内部研发等形式来获取 SOAR 功能，但 SOAR 方案仍主要是以插件的形式进行销售，而不是与 SIEM 工具一起被并购。”

如果将 SIEM 和 SOAR 两项技术应用于同一安全流程之中，他们之间就会相辅相成。SIEM 从多个工具中收集并组织信息和检测，分析网络行为并提供洞察，发出警报。之后，SOAR 工具会对这些警报进行自动分类，自动化编排和响应。换言之，SIEM 会 “观察 “并将安全团队的注意力” 引导 “至存在于环境中的恶意活动，而后 SOAR 工具进行自动化决策并采取行动（由其他多个安全工具执行），从而化解这些活动带来的威胁。

Splunk 是少数几个可以提供 SIEM 和 SOAR 工具的供应商。Splunk Enterprise Security 能够被 Gartner 评定为 2020 年 SIEM 魔力象限中的 “领导者 “企业，获此殊荣，我们甚感欣慰。

转载声明

本文转载自微信公众号：Splunk 大数据，转载链接：https://mp.weixin.qq.com/s/hNsJ8SdRgEJ5cBRFOPDPFw