使用 SOAR 自动化基本 SOC 工作流可以改善组织的安全状况。探索六个 SOAR 用例，以简化 SOC 流程并扩充人员分析人员。

根据世界经济论坛的《 2020 年全球风险报告》，网络攻击在全球人为造成的风险中排名第一。鉴于其资产的价值以及数字基础架构和大数据拓扑结构的不断扩大，企业面临一个紧迫的问题：他们应如何应对日益增长的威胁和种类繁多的威胁？

作为响应，许多公司正在使基础安全操作中心（SOC）任务自动化。安全协调，自动化和响应（SOAR）是一类旨在使这些基本安全工作流程自动化的技术。

SOAR 在 SOC 上下文中包含以下功能：

• 安全协调连接并协调 SOC 中的异构工具集，以更有效地进行威胁吸收，丰富，监视和事件识别。
• 自动化通过基于预定义的参数自动触发工作流，任务和分类，帮助 SOC 采取更加主动的安全态度。
• 响应加快了一般 SOC 和目标 SOC 对低风险事件的反应，并通过启用单个视图来访问，查询和共享威胁情报来支持分析人员的反驳。

在这三类中，有数十种自动化加速手动任务的方式。SOAR 工具的主要价值在于支持人类分析人员扩展和自动执行重复繁琐的任务，以便 SOC 人员可以将精力集中在更高级别的威胁上。

下面，研究了六个 SOAR 用例，这些用例可增强企业 SOC 中的安全分析人员。

1.威胁情报协调

每天，SOAR 平台都会吸收成千上万的危害指标（IOC）。IOC 是从内部和外部威胁情报源，恶意软件分析工具，端点检测和响应平台，SIEM 系统，网络检测和响应工具，电子邮件收件箱，RSS 源，监管机构和其他数据库中收集的。SOAR 平台可以协调，汇总和浮现这些工具发出的警报，并检测出现在它们之间的可疑 IOC。

2.案件管理

可以通过多种工具检测潜在的威胁。因此，对于分析人员通过与同一威胁相关联的不同数据进行解析，可能会花费宝贵的时间。SOC 中的 SOAR 将所有数据整理到一个故事中。这使案件得以更快处理，并加快了通过自动或人工干预和分析来发现和响应的总体平均时间。

3.漏洞管理

过去，SOC 分析人员依靠手动管理和安全漏洞清单。但是，通过实施 SOAR，可以自动执行多个 SOC 任务以处理数量，监视和简单响应。具体而言，SOAR 将跨多个安全工具的威胁数据关联起来，以计算风险并相应地对威胁进行优先级排序。

4.自动富集修复

SOAR 平台通过挖掘多个扩充数据库或查询上下文的不同威胁情报工具来加速 IOC 扩充过程。这使 SOC 分析人员可以更准确，更有效地解析，验证，分类和响应。这种 SOAR 用例通过更快速地丰富大量 IP，URL 和哈希值来检查恶意代码，从而节省了分析师大量时间，而又不影响所需的查询深度。

5.威胁搜寻

除了摄取和丰富之外，SOAR 平台对 IOC 的检测还可以有效地充当主动威胁搜寻的一种形式。对于人类分析人员而言，威胁搜寻是一项至关重要的任务，但是鉴于威胁范围的不断扩大，这是一项耗时的工作。SOAR 通过​​添加用于连续分析的数据集来帮助解决繁琐和规模化的问题。此外，SOAR 通过探测恶意软件或可疑域并在战略要点将人员纳入循环决策中来协助威胁搜寻范围。

6.事件响应

自动化事件补救和响应流程的目的是将上游威胁作为目标，以防止下游成本。SOC 中的 SOAR 处理多种常见安全威胁的补救和响应，例如网络钓鱼，恶意软件，拒绝服务，Web 破坏和勒索软件。

根据威胁的性质，自动响应采取多种形式，包括以下几种：

• 自动将指标添加到监视列表；
• 自动阻止恶意指标；
• 自动隔离指标或受损的端点；
• 自动生成票证；
• 自动阻止可疑电子邮件或 IP 地址；
• 自动删除其他邮箱中的可以电子邮件；
• 自动终止用户帐户；
• 自动触发防病毒扫描或安全合规性检查；和
• 自动提醒特定的分析师，员工，供应商，合作伙伴或客户。

SOAR 的好处之一是可以在广泛的安全拓扑中进行威胁信息协调，从而使分析人员可以腾出时间专注于更复杂的威胁，并支持威胁情报的整个生命周期。从摄取和充实到检测，分类，响应和遏制，SOC 中的 SOAR 有助于获得更大的监督和环境。

SOAR 不仅对自动化安全剧本有用，而且对它们进行优化也很有用。它不仅提高了分析师的经验，而且提高了 SOC 团队在整个组织中进行沟通的能力。除了文化和行业方面的考虑之外，通过适当的实施，实施 SOAR 用例可以加强企业安全状况的基础。

转载声明

本文翻译自：Top 6 SOAR uses cases to implement in enterprise SOCs，转载链接：https://searchsecurity.techtarget.com/tip/Top-6-SOAR-uses-cases-to-implement-in-enterprise-SOCs?