事件响应涉及用于分类和响应各种安全事件的一组流程、策略和程序的标准化和实施。简单地说，事件响应就是制定一个计划，在网络威胁造成更严重的损害之前识别和处理它们。这些威胁可以采取多种形式，包括从恶意软件感染、凭据泄露或未经授权的访问到复杂的勒索软件攻击。

为什么传统的事件响应不足

虽然创建一个或多个事件响应手册来处理潜在威胁是必不可少的，但组织负责调查的关键警报的数量和速度不断增加，即使是最熟练的安全专业人员也很容易不知所措。由于许多公司现在每天处理 10,000 到 150,000 个或更多的警报，因此扩展手动流程几乎是不可能的 - 并且找到开发和维护自定义脚本所需的时间和人才是不切实际的。这就是为什么多达 70% 的警报最终根本没有得到调查，使组织容易受到严重攻击。不幸的事实是，基于人工的传统事件响应手册不再有效。

解决方案：自动化事件响应手册

面对传统事件响应带来的挑战，成熟的安全运营团队现在正依靠安全编排、自动化和响应 (SOAR) 来有效管理其安全运营。强大的低代码 SOAR 解决方案（如 Swimlane）通过提供一个平台作为整个安全组织的记录系统来解锁 SOC 之外的自动化。更具体地说，自动化事件响应手册使安全团队能够简化警报监控并显着缩短响应时间以解决每个警报并降低风险暴露。您可以在我们之前的文章 “自动事件响应：响应每个警报” 中了解有关自动事件响应的好处的更多信息。

自动事件响应入门

为了保护您的数据免受安全威胁，您需要制定一个可以由低代码安全自动化驱动的强大事件响应平台执行的既定计划。此过程的第一步是制定可用于创建剧本的可扩展事件响应计划。该计划应包括以下方面： 协调人员、流程和技术的战略；事件检测和分析框架；违规收容、根除和恢复协议；以及事后行动的蓝图。然后可以组合这些元素来构建一个或多个事件响应手册来处理特定的威胁向量。自动化网络钓鱼分析和响应通常是 Swimlane 客户部署的第一个剧本。他们在入职后的前 8 小时内完成了这个用例。看看它怎么运作：

建立一个或多个事件响应手册后，现在是时候选择一个平台，使您能够大规模执行您的计划。这样的解决方案应该能够实现至少 80% - 90% 的已建立事件响应流程的自动化，从而使您的安全团队能够更有效地分类警报、更快地响应关键事件，并无缝集成和利用您现有的安全解决方案。这使您的组织能够扩展其现有资源的能力，以在相同的时间内处理更多的威胁。

Swimlane 等解决方案可以让您实现自动化的一些任务示例包括：

• 审查和分析威胁情报来源
• 调查涉及日志收集和分析的事件
• 更新安全和支持票证
• 收集关键指标并创建报告
• 向受影响的各方发送电子邮件警报
• 解决和关闭警报

Swimlane 的低代码 SOAR 和自动化事件响应平台

Swimlane 处于对强大 SOAR 解决方案不断增长的需求的最前沿。其云规模、低代码安全自动化解决方案以机器速度的决策和补救措施取代了事件调查和响应中涉及的耗时的手动任务，从而更好地保护您的业务。集成您的人员、流程和技术，以一致且有效的方法进行自动化事件响应，从未如此简单。因此，世界领先品牌越来越多地转向 Swimlane 来满足各种安全运营需求，包括警报优先级自动化、威胁补救、工具编排等——提高整个组织的绩效。

转载声明：

本文翻译自：https://swimlane.com/blog/automating-incidence-response-playbooks