当涉及到安全编排、自动化和响应 (SOAR) 时,用例将根据许多因素而变化,例如企业特定的内部环境、企业服务的行业或垂直方向,甚至需要满足的法律和法规遵从性。
在这篇文章我们将介绍五个最常见的用例安全编排和响应解决方案以及如何利用这项技术,安全警报和潜在的事件可以很快发现,响应和解决而无需对组织产生重大影响。
关键是要指出,用例仅受组织本身的创造力的限制。一个安全编排自动化和响应 SOAR 平台,例如来自 DFLabs 的 IncMan SOAR,应该能够满足任何需要的场景和用例。
一、网络钓鱼
在过去的几年里,钓鱼邮件已经成为组织面临的最关键的问题之一。最近一些备受关注的数据泄露事件是由精心设计的钓鱼邮件造成的。通过从电子邮件中提取构件,然后对这些构件进行额外的充实,并在必要时包含恶意电子邮件和任何恶意有效负载,安全编排、自动化和响应 (SOAR) 处于完美的位置,能够自动对可疑的钓鱼邮件进行分类和检查。
可疑电子邮件可以通过任何一个今天可用的电子邮件扫描解决方案,或通过监控电子邮件地址提供给终端用户提交可疑电子邮件。一旦收到电子邮件,SOAR 可以提取工件,例如头信息、电子邮件地址、url 甚至附件。接下来会发生什么在很大程度上取决于组织的个人技术集成。提取的信息可能会提交给各种威胁声誉和情报机构,SIEM、EDR 或网络设备日志可能会被查询,附件可能会在沙箱中被引爆。一旦信息被丰富,如果确定是恶意的,自动或半自动控制可能会采取行动,如隔离或删除网络钓鱼电子邮件、搜索和删除其他的实例网络钓鱼邮件用户的账户,阻止 IP 地址或 url,禁止可执行文件运行或隔离用户的工作站。
不管使用何种集成,利用 SOAR 来检查和响应钓鱼邮件可以将调查这些无处不在的威胁的时间从几小时减少到几分钟,自动地控制攻击并将对组织的风险降到最低。
二、恶意的网络流量
检测技术的大量涌入意味着组织正面临着接二连三的警报。许多这样的警报是由于某种检测技术或另一种技术认为存在潜在恶意的流量而产生的。这通常是基于某种类型的威胁指示器,它可能是可靠的,也可能是不可靠的。通常由组织来进一步分类和调查每个警报,以确定它们是假阳性还是实际的潜在安全事件。
有关恶意通讯的警报可由 SOAR 直接接收,或由 SIEM 接收和转发。在这两种情况下,使用 SOAR 来自动化和协调围绕这些类型事件的操作的优势来自于自动充实,以及检测到的指示器的潜在的控制。在正常情况下,分析师会使用任何可用的数据充实工具,如威胁情报、声誉服务、IT 资产清单以及 nslookup 和 whois 等工具。然后,分析人士将确定这些指标是否有恶意,然后开始进行遏制和进一步调查。使用 SOAR 技术,可以很容易地将这样的流程编码到一个自动化的工作流中,并在收到警报时自动执行数据充实。SOAR 解决方案还可以自动地在整个组织中搜索相同指示符的其他实例,将任何额外检测到的事件通知分析人员。也可以采用自动化或半自动化控制;例如,通过防火墙或代理屏蔽一个 IP 地址或 URL,或者隔离一个主机,等待进一步的调查。
关于潜在恶意流量的警报是常见的,并且在被调查之前经常会在队列中停留一段时间。虽然大多数都是误报或低优先级,但其中任何一个都可能是潜在的严重数据泄漏的唯一指标。安全编排、自动化和响应 (SOAR) 技术允许对每一个警报进行即时分类和响应,几乎是同时进行的,自动化了平凡的、可重复的流程,同时允许分析人员关注最重要的警报。
三、漏洞管理
安全编排自动化和响应并不打算成为一个漏洞管理平台,也永远不会取代今天可用的健壮的漏洞管理系统。然而,一个好的漏洞管理程序有一些方面是可以通过 SOAR 平台简化的。在大型企业中,漏洞管理通常是在安全团队之外执行的任务。这可能导致潜在的风险,因为安全团队可能没有意识到基础设施中存在的漏洞。
可以使用 SOAR 解决方案来确保安全团队了解组织中的任何新漏洞。这允许安全团队在适当的时候主动检查脆弱的主机,以确保没有被利用的证据,在适当的地方放置任何适当的额外安全措施,并对主机进行更多的监视,直到漏洞被缓解为止。
除了通知安全团队外,还可以使用安全编排、自动化和响应 SOAR 解决方案来进一步丰富漏洞和主机信息。例如,可以使用 SOAR 解决方案来查询漏洞数据库,以收集关于该漏洞的额外信息,查询 Active Directory 或 CMDB 以获取资产信息,或者查询 SIEM 或 EDR 以获取事件。根据漏洞、主机或事件信息,可以自动升级或重新分配案例,甚至可以暂时隔离主机,直到执行适当的缓解任务。
尽管补丁的适当测试和部署在企业环境中是至关重要的,但是现有的漏洞会给组织带来持续的风险。至关重要的是,安全团队要意识到这些风险,并采取适当的步骤来确保漏洞没有被利用,直到它能够得到适当的解决。可以使用安全编排、自动化和响应 (SOAR) 解决方案来确保安全团队对所有当前的漏洞保持知情,并能够有效地评估每个漏洞的可能风险,以便采取适当的风险缓解措施。
四、mssp 的安全编排自动化和响应 (SOAR)
管理安全服务提供商 (mssp) 面临着许多与计算机安全事件响应团队 (csirt) 和安全操作中心 (SOCs) 相同的问题,但涉及的范围要大得多。除了这些共同的挑战,mssp 还面临着 SOAR 技术可以解决的一些独特的问题。mssp 必须在严格的服务水平协议 (sla) 的范围内工作。未能达到这些 sla 可能会导致业务损失、声誉损失,甚至可能导致法律诉讼。使用安全编排、自动化和响应飙升解决方案来自动化和协调操作,可以让 mssp 更有效地工作,确保满足所有 sla。此外,mssp 不断地承受着向客户证明这些 sla 得到满足的压力,他们正在采取适当的、及时的行动,并继续为他们的客户提供价值。SOAR 的高级度量标准和审计日志通过提供一组健壮的度量标准来满足这些需求,这些度量标准既适合分析人员,也适合执行人员。
mssp 还必须找到一种方法,以隔离的方式安全地管理每个客户的数据。同时,MSSP 还必须确保向每个客户提供对其数据的访问权,以确保数据的透明性,并允许 MSSP 与客户内部团队之间的无缝协作。安全协调、自动化和响应 (SOAR) 通过为每个客户提供单独的租户来完成这些任务,物理上隔离每个客户的数据以确保机密性,同时允许 MSSP 跨客户租户进行访问,以便于使用。
五、案例管理
尽管不是严格意义上的编排和自动化功能,但案例管理是事件响应流程的重要组成部分,也是 SOAR 可以帮助简化的另一个功能。许多组织都在处理安全事件期间收集的大量不同的信息。电子表格和共享文档根本不足以管理复杂的网络事件。
SOAR 不仅维护从自动化和精心安排的活动中收集的所有信息和丰富的数据,它还维护响应期间所采取的所有行动的详细审计日志。功能全面的 SOAR 解决方案还应该允许进行详细的任务管理,允许事件管理人员创建、分配和监视分配给参与响应的所有分析人员的任务。此外,功能全面的 SOAR 还应该允许用户跟踪事件中涉及的资产,并对所有物理和逻辑证据保持详细的保管链。
拥有完整案例管理功能的安全协调、自动化和响应 (SOAR) 将有助于确保从识别到补救的事件处理过程的顺畅和高效,为响应者提供所需的信息,使他们能够专注于手头的任务。