最近两年，SOAR 安全编排自动化与响应（以下简称 “SOAR”）越来越为人熟悉，今天我们就给大家介绍下 SOAR 在不同场景下的应用与实践，以便大家找到适合自己的使用方式。 SOAR 的核心能力

SOAR 的全称为 “Security Orchestration, Automation and Response”，翻译过来是安全编排自动化与响应。从流程上看可以使用触发条件、分析研判、响应处置三个核心阶段进行概述，这些工作流通过 Playbook 剧本进行承载及串并联。

1、“Security 安全” 可以理解为 SOAR 应用于安全领域，同时可以基于安全的因素进行触发。

2、“Orchestration 编排” 可以理解为分析研判。

3、“Response 响应” 可以分类至响应处置。

4、“Automation 自动化” 可以理解为自动化触发。

Playbook 剧本一旦形成，可以自动化执行相关任务，将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的工作流。

SOAR 的使用场景概述

SOAR 可以应用于演练保障快速处置、日常运维深度研判、人机协同经验持续固化场景，从不同方面有效地提升企业安全管理能力。

演练保障—快速处置场景

在大型演练保障活动中，往往关注 “短时间内大批量 IP 的快速封禁能力”，通过 SOAR 与网安全设备对接，对全网不同出口的安全设备下发封堵任务，实现对攻击 IP 的快速封禁，缩短攻击者横向蔓延、提权等动作的时间。

批量导入封禁场景

在实际保障活动中，防御者往往本着 “宁可错杀一千，不可放过一个” 的原则进行防守，防御者手里可能持有大量的威胁 IP 地址集，在设备上手动单条输入 IP 往往会耗费量时间，可通过 SOAR 作为入口，将攻击列表进行批量导入，下联不同安全设备，实现大批量威胁 IP 的全量快速封禁。

威胁情报、地理库匹配封禁场景

防御者手中的威胁地址集往往来源于专门的 NTI 威胁情报包，可能是行业内共享或威胁情报厂商定期发布的演练情报包，这些情报需要与 SOAR 进行关联响应。

随着运维习惯的固化，防御者往往会结合业务系统的属性对封禁进行持续性优化，对于平时没有国外访问的业务系统，防御者也经常会直接对国外的源 IP 进行全网封禁。

云地协同 - 威胁回溯消除场景

在保障演练期间，攻击者一般会使用一些 0DAY 攻击手法进行攻击，这时安全设备往往是没有规则对该事件进行检测。云端的专家团队可以借用专业的攻防安全分析知识，通过云地协同的工作模式，第一时间对攻击者采用的攻击手法、攻击路径、攻击特征进行分析，并及时下发给 SOAR。

借助 SOAR 在现网提取到的请求内容、请求长度、返回值等信息回溯出现网是否发生过冰蝎/哥斯拉 Webshell/Incaseformat 蠕虫等安全事件，如果一旦实锤现网发生了类似攻击，可以借用 SOAR 直接对源 IP 进行阻断、对目的主机进行隔离下线操作，及时进行止损。

在演练保障过程中，SOAR 实现了海量 IP 的批量封禁，演练的总结、演练报告编写阶段对 SOAR 提出了封禁历史导出要求，导出的报表需要包括封禁的地址、响应的类型、执行的设备、封禁的时间窗口、封禁的原因等信息，以便满足事后审计的要求。

日常运维—深度研判场景

在日常运维场景下，不同于快速响应场景，业主更加关注研判的精准性。因此，SOAR 需要承担更多的深度判断的工作，将不同角度的分析判断结果呈现出来，在一定程度上将人从机械重复的分析的工作中释放出来。

基于威胁等级、攻击频次阶梯处置场景

日常运维中，通常不只依托于威胁情报 IP 就简单判断一个威胁事件，SOAR 需要结合危害级别、攻击频率对威胁事件的处置方法进行综合判定。比如，某攻击 IP 的风险值为高，且在 30 分钟内发起了大于 50 次攻击，则可通过 SOAR 对设备发起全网封禁。

经过持续实践，运维者引入了阶梯封堵的概念，攻击 IP 第一次出现，封禁 30 分钟；该 IP 第二次出现，封禁 90 分钟；此 IP 第三次出现，直接封禁 7 天，以此类推。

SOAR 与漏扫/全流量设备告警关联降噪场景

在日常运维中，运维人员的一大诉求就是专注于高保真告警，SOAR 可通过攻击方式与资产匹配的方式帮助监控人员实现告警降噪，过滤掉无用的告警。

比如某 IPS 设备发现了某攻击者采用一个基于 Apache 漏洞攻击对某资产进行攻击，SOAR 可以调用漏扫设备对资产进行扫描，如果检测出是 Apache 资产，则可能是有效攻击，SOAR 可将告警推送至监控人员，以便进行重点关注。如果漏扫检测出是 IIS 资产，则可能是无效攻击，运维者可直接进行忽略。SOAR 的研判降噪能力可以大幅度降低人工初筛研判分析的成本。

在此基础上，SOAR 也可以调用全流量设备的会话内容，根据攻击结果进一步锁定是否需要对攻击进行关注，若攻击结果为成功，则可能需要重点关注；攻击结果失败，则可以忽略。

SOAR 与沙箱/EDR 组合办公场景

在日常办公场景下，SOAR 也可以与沙箱及终端 EDR 软件形成解决方案。如某恶意攻击者希望通过对某目标对象邮箱发送恶意文件，来获取某个用户的电脑控制权，进而回传一些核心资料。

SOAR 可以通过沙箱文件检测结果及 PC 上 EDR 监测到的异常行为对该攻击进行研判，如沙箱检测到邮件中的文件无恶意，则 SOAR 不进行告警推送。如果沙箱检测到恶意文件，主机 EDR 未检测到收件人 PC 上有异常行为，则只进行告警；如果沙箱检测到恶意文件，主机 EDR 检测到了收件人 PC 有异常连接行为，该行为比较符合提权及木马反连的攻击顺序，则直接将该收件人 PC 断网隔离下线，避免造成更大的损失。

人机协同 - 经验持续固化场景

SOAR 在很大程度上还是需要人的经验作为支撑，大型机构可借助 SOAR 作为抓手，持续将安全工程师的分析研判经验固化迭代为剧本，因此细分出了以下几种使用场景。

War-Room 作战室协同沟通场景

分析研判中，我们往往是通过工单流转传递信息，每个流转节点一般只有一个人可以进行查看与研判，该角色研判后，基本上就给出了最终的处置意见。此时，可借助 SOAR 的分析研判环节构建一个虚拟的作战室，作战室可以理解为一个统一协同沟通的页面，跨部门/厂商的人员都可以在该页面中看到事件全部的上下文信息及线索，不同角色工程师可以在线上集思广益、分析讨论，最终形成对事件处置的意见。整个研判处置的流程及原因都在虚拟作战室中完整留存，事后可随时复盘。

知识库持续固化剧本场景

日常运维中，研判人员会在不同的场景下做不同的判断及处置选择，经过不断的调整优化，针对不同的安全事件，企业往往会形成较为完善且通用的研判处置流程，成熟度高的单位针对于不同事件会有完善且可执行的事件处置流程及制度，在安全事件发生后，在最短的时间内，以最少的沟通成本完成事件闭环处置。 SOAR 可将适合于现网场景的处置经验固化留存积累下来，固化形成剧本；当该安全事件再次发生时，SOAR 可调用现网的不同安全设备，实现具有丰富经验安全工程师一样的处置效果，将人从繁琐重复的运营工作中最大化释放出来，同时提高处置效率。