SOAR技术文章 SOAR 平台初探(一)

xiaobing · 2020年03月13日 · 最后由 wanqiu 回复于 2020年03月16日 · 2395 次阅读

1.前言

Security Orchestration, Automation and Response(SOAR)安全编排和自动化响应,是 Gartner 2017 年提出的新概念。Gartner 预计到 2019 年,大概 30% 的大中型企业会进行 SOAR 平台的建设。

2. 概述

目前来说,一般大中型企业都已经建立了相对比较完备的安全运营中心 SOC,为什么又要提出 SOAR 的概念呢。主要是因为在 SOC 的运营过程中,面临以下的一些问题:

  • 大量的安全事件,都需要安全分析师的介入,运营成本高,企业需要用更少的钱,来做更多的事。
  • 安全分析师的分析时间,经常被浪费在一些低级别或无关紧要的事件分析上。
  • 传统的安全响应执行过程,响应时间长,人工介入多,相关处理过程难以定量评估。
  • 人员流动,带来运营过程的变化和运营质量的变化,比如老人离职,新人进来需要培训,需要时间和经验的积累。

SOAR 平台主要就是解决这些问题,其核心概念主要包括:

Orchestration,编排

与过去相比,现在的安全运营中心需要整合大量的系统,运维的复杂度也大大增加,事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求,必然需要的提供丰富的事件响应与处理编排能力,可以进行流程定制,流程执行,流程监控,结果的验证与评估,流程再造。

Automation,自动化

当前安全分析师在解决安全问题时所需要的数据,分析的方法与过去相比,其工作量和内容都大大增加。数据是海量的数据,大量的数据需要使用自动化方式去处理。既可以节省时间,人力,成本,也避免人在处理大量数据的过程中带来的误差或失误。

合理的 KPI 评估体系

系统提供编排与自动化执行能力,也需要对流程和自动化执行的结果进行有效的评估,需要提供合理的评估方法,可量化的评估指标,根据评估结果,才可以进行流程再造,优化我们的编排内容,带来整个安全运营中心的效率提升。

3.SOAR 平台基本功能需求

针对 SOC 运营的一些问题,我们可以看出 SOAR 平台需要具备的一些基本功能:

  1. 系统能够对接主流的安全管理平台的管理数据,可以对安全事件进行二次分析和聚合。

  2. 具备流程化自动执行功能,能够依据场景或案例,制定执行计划和执行脚本,并具备自动、半自动和手动执行的能力。

  3. 对执行效果可以提供合适的 KPI 进行评估,反馈,在修改的能力。

  4. 执行过程能够整合既有的知识库,经验。

  5. 和威胁情报对接能力,多协议支持。

  6. 可定制的可视化分析和展现,可以定制 Dashboard 展现内容。

  7. 内容分享,沟通和交互,充分利用微信,邮件等既有沟通平台,提供反应速度。

4.SOAR 和 SOC 的关系。

有一部分人认为 SOAR 的功能是包含在 SOC 中的,比如现在国内的一些安全厂家,也都在 SOC 中添加事件处理,调查,响应功能。但是专业的事还是需要专业的软件来执行,SOAR 更偏重于安全分析师所做的工作,侧重于过程,比如把对于一封钓鱼邮件的分析,通过程序自动化的执行。而且一套好的 SOAR 平台,是能够整合不同厂家的相关产品,不管是 SIEM,SOC,还是 TI 相关产品。SOC 产品更偏重于事件的采集,分析与告警,响应在 SOC 中更多的是手动的的操作。

参考来源:cnblogs-青青如水-Wishma 的随笔

我 2018 年 11 月就看到过这篇文章,写得比较早。👍

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册