01

SOAR 概念

随着网络安全问题愈演愈烈，面对当前黑客先进智能化的攻击方式，传统安全防御能力存在的问题逐渐暴露，如威胁信息和事件数量多、人力不足且经验难固化、设备孤立技术整合度低以及安全保障政策法规要求等。针对此问题，安全专家们提出了安全编排自动化与响应 (SOAR，Security Orchestration, Automation andResponse)。运用 SOAR 技术能够有效的通过编排降低不同技术间转换需耗费的人力、时间和成本问题。

SOAR 概念早在 2015 年，由 Gartner 公司的《安全运营分析和报告创新技术洞察》中就已经被提出了，当时 SOAR 被定义为安全运维分析与报告，指通过机读和有状态的安全数据提供报表、分析和管理功能来支持安全运营工作。随着网络安全技术的迅速发展与演变，在 2017 年，Gartner 公司将 SOAR 重新定义为安全编排自动化与响应。通过该技术，可以帮助企业和组织收集监控到的各种信息，并进行事件的分析和告警分类，在标准工作流程的指导下，利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化事件响应活动。

SOAR 技术使得企业和组织能够对事件分析与响应流程进行形式化描述，提高了安全运营人员的工作效率，增强了安全事件上下文和调查分析的关联度，极大的缩短了安全事件的响应时间，具有可被定制化、灵活化、联动化等特点。

02

SOAR 关键技术

企业安全 | 自动化编排（SOAR）概述

SOAR 技术架构

SOAR 将原始数据或安全事件作为剧本，对攻击行为采用机器学习、统计模型、情报模型、关联模型等进行分析，实现客户能够对攻击行为进行快速追踪溯源、联动阻断等响应动作，并最终上报监控单位和安全管理员进行检查和处置。如图所示为 SOAR 技术框架，总共包含了 6 个功能模块：安全分析、告警管理、案件管理、工单管理、安全编排与自动化、安全事件响应，形成自动化的能力集成，实现从静态事件响应到动态工作流跟踪的转变。下面就 SOAR 的核心技术分别进行介绍。

a) 安全分析 针对安全原始数据和安全事件，采用机器学习、统计模型、情报模型、关联模型等对安全事件进行分析，包括攻击源、攻击目的、行为类型、协议等。还可以根据威胁情报库 IOC 信息进行情报碰撞分析，并将分析结果，发送给告警管理模块，进行进一步处置。

b) 告警管理 告警管理不仅是对告警安全事件的收集、展示和响应，更强调告警分诊和告警调查。告警分诊和告警调查能够自动化地聚合告警信息，自动计算告警的可信度和处置优先级，还可针对告警信息进行补充调查分析，将低质量的告警变成高质量、有价值的告警，并且排除虚假告警。提升告警的质量。

c) 案件管理 案件管理是现代安全事件响应管理的核心能力。通过案件管理可以帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并不断积累该案件相关的痕迹物证 (IOC) 和攻击者在攻击过程中的指标信息 (TTP)，从而达到持续化地对一系列安全事件进行追踪处置。

d) 工单管理 工单管理主要适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应，确保响应过程可记录、可度量、可考核。

e) 安全编排与自动化 安全编排与自动化部分是 SOAR 的核心能力和基本能力。安全编排是指将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。安全自动化在这里指自动化的编排过程，例如，如果编排过程完全依赖各个相关系统 API 实现的，那么就是可以自动化执行。与自动化编排对应的，还有人工编排和混合编排等。无论是自动化的编排，还是人工的编排，都可以通过剧本的方式进行表述。

f) 安全事件响应 安全事件响应是 SOAR 的关键功能。安全事件响应通过各个系统的可编程接口 (API)，联动多种安全应用程序，如工业防火墙、工控 EDR、网络准入控制等，下发封禁策略及周期，对事件进行实时响应处置等。