根据其主要功能、关键差异化、用例和定价包,发现最适合企业的 SOAR 解决方案。
安全编排、自动化和响应 (SOAR) 解决方案是旨在简化和简化安全流程的平台。根据 SOAR 供应商 Swimlane 的一份报告,看起来他们是长期存在的——90% 的组织认为这些平台非常重要。
SOAR 解决方案首先将来自一系列安全技术的警报和输入整合到一个平台上。然后,他们利用人类智能、人工智能 (AI) 和机器学习 (ML) 的组合来对事件进行分类和优先级排序。然后,SOC 团队可以设置剧本(由特定事件触发的预定义规则和工作流集),以自动修复所有类型的场景和用例中的事件。
这意味着值得您花时间的 SOAR 解决方案应具有以下主要功能:
--安全编排 --自动化 --警报分类和调查 --威胁情报管理 --案例管理 --预先构建的剧本和一系列集成 --事件响应 --报告仪表板和分析 鉴于目前市场上如此广泛的强大 SOAR 解决方案,可能很难破译哪些最适合您的组织。为了帮助您,我们搜索了市场并汇总了当前提供的 10 大 SOAR 解决方案列表。
在本指南中,我们将了解每种产品的主要功能、它们与竞争对手的区别、提供的定价包以及它们最适合的组织类型。
排名前 10 位的 SOAR 解决方案包括:
Fortinet FortiSOAR | LogicHub SOAR | Palo Alto Networks Cortex XSOAR | Rapid7 InsightConnect | ServiceNow 安全事件响应 (SIR) | Simplify 安全运营平台 | Splunk SOAR | Sumo Logic Cloud SOAR | Swimlane SOAR | ThreatConnect 安全编排、自动化和响应 (SOAR)
----------Fortinet FortiSOAR 总部位于加利福尼亚的 Fortinet 是一家市场领先的网络安全公司,为 SMB、企业和 MSP 提供广泛的解决方案。作为 Fortinet Security Fabric 平台的一部分,FortiSOAR 是其强大的 SOAR 解决方案,专注于工具整合、安全编排和自动化、案例管理和事件响应。该解决方案可以通过虚拟机、主机或云进行部署。
FortiSOAR 是一种高度灵活的解决方案。它带有 350 多个集成、3,000 多个自动化工作流操作和 160 个开箱即用的剧本,可以使用其拖放式可视剧本构建器轻松编辑。该解决方案还配备了先进的内置威胁情报管理(利用其与 FortiGuard 的集成)、强大的基于角色的事件管理、专用的事件作战室和一个移动应用程序,使分析师能够在旅途中响应警报并执行关键操作. 基于角色的仪表板和报告功能使团队能够跟踪指标、分析绩效、创建数据模型、生成每周报告等,并且更详细。
FortiSOAR 按每个用户定价。用户称赞该解决方案的灵活性、可定制性以及与第三方工具的轻松集成——但一些用户确实发现创建剧本的复杂程度。对于正在寻找具有高度灵活的编排和自动化功能的高级、多租户和包罗万象的事件响应平台的中小型企业、企业和 MSP,我们建议使用 FortiSOAR。
----------LogicHub SOAR LogicHub 成立于 2016 年,是一家网络安全供应商,专门从事自动化和智能驱动的威胁检测和响应产品。LogicHub SOAR 是其安全自动化、编排和响应解决方案,可在整个威胁生命周期中提供端到端自动化和编排,使安全团队能够从更高的效率、功效和协作中受益。该解决方案可以部署为 SaaS、本地或云中。
LogicHub SOAR 具有高度自动化——从检测和分析到响应和取证的整个威胁生命周期自动化。该解决方案附带一个库,其中包含数百个与第三方安全平台和工具的开箱即用集成,以及预构建的剧本。它的案例管理功能特别强大,因为它通过事件上下文、建议的补救措施、任务管理等丰富了案例。该解决方案还可以轻松与许多开源和商业威胁情报源集成。
该解决方案提供灵活和可定制的定价,以及满足客户要求的各种套餐。总体而言,客户发现该解决方案灵活、经济且高效,并注意到它支持广泛的工具和集成。但是,一些用户在初次使用时会遇到适中的学习曲线。由于其灵活的定价和套餐,我们向各种规模的组织推荐 LogicHub SOAR,这些组织正在寻找高度自动化的 SOAR 解决方案,以提供特别强大的分类和案例管理功能。
----------Palo Alto Networks Cortex XSOAR Palo Alto Networks 总部位于加利福尼亚州,是企业安全解决方案的全球领导者。其安全编排、自动化和响应解决方案 Cortex XSOAR 将 Demisto 强大的 SOAR 平台(2019 年被 Palo Alto Networks 收购)与其原生 Cortex 威胁预防和响应功能以及高级威胁情报管理相结合。该平台可在本地、云端或作为 MSP 的多租户解决方案使用。
Cortex XSOAR 是一个中央平台,SOC 团队可以从中管理和调查事件,以及自动化事件响应工作流和流程。该平台可以接收来自所有主要 SIEM 的输入,自动关联警报并为每个事件提供一个 “作战室”,团队可以在其中协作进行实时调查。借助该平台的威胁情报管理 (TIM) 模块,团队还可以使用 Palo Alto Networks 的网络源和第三方源将警报情境化。在自动化方面,该平台的优点在于,团队可以选择是定制自己的集成还是利用 Cortex XSOAR 市场,这是一个生态系统,使他们能够浏览和发现由 SOAR 行业专家创建的预构建自动化手册。
Cortex XSOAR 按每个用户定价。大多数用户发现该平台易于使用,并特别称赞创建自定义集成、利用强大的报告仪表板和更快地调查事件的能力。然而,一小部分用户发现定制预建的剧本有些复杂。对于正在寻找高级 SOAR 解决方案以及内置于平台中的健康剧本生态系统的企业组织,我们建议使用 Cortex XSOAR。
----------Rapid7 InsightConnect Rapid7 是一家位于波士顿的网络安全公司,利用可见性、分析和自动化帮助保护客户环境。在 2017 年 7 月收购 SOAR 供应商 Komand 后,Rapid7 提供了 InsightConnect——一个强大的、基于云的 SOAR 解决方案,使 SOC 团队能够轻松高效地简化安全流程和工作流,并在 Insight 平台上找到它的家。
InsightConnect 是一种易于使用的工具,旨在提高跨环境的可见性、增强团队之间的协作并简化对时间敏感的流程。该解决方案的优点在于,分析师可以无代码自动化工作流程,并利用 200 多个插件和可定制的工作流程。但 InsightConnect 真正有趣的是它的 ChatOps 功能,它与 Slack 和 Microsoft Teams 等协作应用程序集成,使 SOC 团队能够创建聊天驱动的工作流,更无缝地协作,更高效地工作。
InsightConnect 提供两个版本的产品:Insight Automation 和 Pro Automation。两个版本都允许无限数量的用户、工作流和集成,但 Insight Automation 只允许 Insight Platform 产品的工作流自动化。对于希望自动化第三方产品的组织,我们推荐 Pro Automation。
InsightConnect 因其易用性、跨环境的深度可见性和丰富的集成而深受用户喜爱。但是,一些用户希望看到更多开箱即用的集成。我们向正在寻找功能强大的 SOAR 解决方案的企业组织推荐该解决方案,该解决方案提供丰富的插件和可定制的工作流程,并支持团队之间的高水平协作。
----------ServiceNow 安全事件响应 (SIR) ServiceNow 成立于 2004 年,是数字工作流、IT 和业务管理领域的行业领导者。作为其安全运营 (SecOps) 平台的一部分,安全事件响应 (SIR) 是其强大的基于云的 SOAR 解决方案,旨在使 SOC 团队能够无缝管理和响应事件、简化任务和工作流程并简化协作。更广泛的 SecOps 平台还包括漏洞管理和响应、威胁情报、配置合规性和更有用的工具。
SIR 是帮助 SOC 团队自动化工作流程和协调事件响应的绝佳工具。该解决方案附带一个广泛的剧本和编排包库,以适应各种场景,而客户可以通过 ServiceNow 商店利用数百个集成和应用程序。该解决方案还配备了用于调查事件的内置 AI、MITRE ATT&CK 映射以提供进一步的攻击上下文、用于增强协作的虚拟作战室以及精细的实时报告功能,以便为团队提供对其整个环境的持续可见性。
ServiceNow 的 SecOps 平台按每个用户定价,提供三种套餐:标准版、专业版和企业版。标准附带 SIR 或漏洞响应。Professional 提供相同的功能,但增加了漏洞管理、威胁情报、事件管理、性能分析等。另一方面,Enterprise 包括 SIR 和漏洞响应,以及 Enterprise 中包含的所有功能,以及配置合规性。
该平台因其可定制性和易于自动化而深受用户喜爱,但一些用户发现用户界面难以导航。对于寻求强大的 SOAR 解决方案以及 ServiceNow SecOps 包可以提供的更广泛特性和功能的中型和企业组织,我们建议使用 ServiceNow SIR。
----------Simplify 安全运营平台 位于特拉维夫的 Siemplify 于 2022 年 1 月被 Google Cloud 收购,是一家领先的 SOAR 供应商,致力于简化和改进安全运营,并为全球 SOC 团队提供更好的用户体验。其安全运营平台是其先进的 SOAR 解决方案,可以统一不同的工具、自动执行重复性任务并加快响应速度,并且可以通过云、本地或 SaaS 交付。
该平台具有所有标准 SOAR 功能,包括安全编排、易于构建的剧本、使用机器学习的事件关联和优先级、报告和仪表板、案例管理以及响应建议。但该平台与其他平台的不同之处在于,它特别擅长警报分类、上下文警报丰富和机器学习功能——以威胁为中心的方式组织警报,并通过强大的威胁情报丰富它们。该平台还易于定制,并提供数百种集成。
用户发现该解决方案可针对各种用例进行高度定制、易于配置且功能丰富,并具有出色的威胁情报。但是一小部分用户确实注意到该解决方案在更新后可能会出现错误,并且其报告功能可以改进。我们向寻求易于使用的 SOAR 解决方案以丰富用户体验和简化安全操作的中型和企业组织推荐 Siemplify 的安全操作平台。
----------Splunk SOAR Splunk 成立于 2003 年,是一家成熟的软件提供商,专门帮助组织通过其强大的数据平台搜索、监控和分析数据。Splunk SOAR 前身为 Splunk Phantom(向 2018 年收购 SOAR 供应商 Phantom Cyber 致敬),是其强大的 SOAR 解决方案,使 SOC 团队能够轻松编排和自动化安全工作流,并在团队之间更紧密地协作。
Splunk SOAR 通过其资源库 Splunkbase 提供,支持与 350 多种工具和 2,100 种操作的集成,并通过其应用程序模型连接到第三方安全技术。该解决方案还附带 100 个开箱即用的剧本,内置可视化编辑器,可实现无代码编辑。该平台还包括强大的案例管理,以及由 Splunk SURGe 网络安全研究团队丰富的威胁情报。但是,Splunk SOAR 的与众不同之处在于其相邻的 SOAR 移动应用程序,它使团队能够随时随地直接通过智能手机响应安全通知、分类事件、运行剧本并与同事协作。
Splunk SOAR 按每个用户定价,但供应商为在平台旁边投资 Splunk 更广泛的安全产品的组织提供折扣。组织还可以通过下载免费的 Splunk SOAR 社区版免费试用该解决方案。
大多数用户称赞该解决方案与他们的环境集成的容易程度,以及可以实现的高水平定制。但一些用户在单独购买时发现该产品价格昂贵,并特别向有资格享受折扣的现有客户推荐该解决方案。我们向寻求强大案例管理、威胁情报和轻松协作的中型企业组织推荐 Splunk SOAR。
----------Sumo Logic Cloud SOAR Sumo Logic 总部位于加利福尼亚州,是一家数据分析供应商,为安全、运营和商业智能提供机器数据分析。Cloud SOAR 前身为 DFLabs 的 IncMan(于 2021 年 5 月被 Sumo logic 收购),是其全面的 SOAR 解决方案,使 SOC 分析师能够消除警报噪音、自动化事件分类和响应、促进协作等。该解决方案可以部署为 SaaS、本地或云中。
该解决方案使整个事件生命周期自动化,因此分析师可以将时间和精力集中在需要人类智能的任务上。其先进的基于 ML 的威胁分类功能可以自动过滤误报和重复事件,调查危害指标,对事件进行分类,并使用上下文数据丰富警报。其内置的剧本还可以提供自动建议,根据历史行动建议最佳行动方案。该解决方案还附带可定制的报告和仪表板,使管理员能够跟踪关键绩效指标、妥协指标、工作流程等。
Cloud SOAR 作为 Enterprise Suite 订阅包的一部分提供,该订阅包附带一系列其他有用的安全智能、编排和分析工具。用户发现该解决方案高度可定制,以适应一系列用例和要求,易于与现有工具集成,并且易于使用。我们向寻求基于 ML 的强大分类和自动响应建议的中型企业组织推荐 Sumo Logic 的 Cloud SOAR。我们还推荐用于 MSP 的解决方案,因为它具有强大的多租户功能。
----------Swimlane SOAR Swimlane 总部位于科罗拉多州,是行业领先的 SOAR 供应商,专门从事安全自动化。其低代码 SOAR 平台旨在从广泛的来源收集警报,并自动执行手动事件响应流程和操作工作流程,从而帮助减轻 SOC 分析师的负担。
该平台强大的安全编排功能与其强大的自动化相结合,意味着不仅可以轻松集成组织的安全工具和现有流程以协调系统之间的活动,还可以通过易于配置的剧本管理和自动化工作流程。该解决方案还包括强大的案例管理以及用于 SOC 分析师的高级报告仪表板。但是,Swimlane SOAR 平台与竞争对手的不同之处在于其可定制和开放的平台,使 SOC 团队能够使用该产品来解决广泛的用例和挑战。该平台还拥有数百个开箱即用的集成,无需额外费用。
Swimlane SOAR 按每个用户定价,这为 SOC 团队提供了一定程度的可扩展性。该平台也可以在本地或通过云部署。用户称赞该解决方案的灵活性、高水平的定制、简单的剧本配置和广泛的报告,但一些用户警告说,不熟悉 Python 的用户学习曲线很高。我们向寻求适用于各种用例的高度灵活和可定制的 SOAR 的企业推荐 Swimlane SOAR。
----------ThreatConnect 安全编排、自动化和响应 (SOAR) ThreatConnect 成立于 2011 年,是一家专门从事威胁情报和分析的网络安全供应商,为网络风险量化、威胁情报和 SOAR 提供强大的解决方案。其安全编排、自动化和响应 (SOAR) 平台旨在与安全工具无缝集成,并为组织提供上下文和协调,以有效调查和响应威胁。
作为威胁情报和分析专家,ThreatConnect 的 SOAR 平台在威胁情报管理能力方面尤为出色。除了安全编排和自动化之外,SOC 团队还可以从丰富的上下文中受益,这些上下文包含来自一长串流和来源的威胁情报,以及其案例管理和威胁情报功能之间的紧密集成。用户可以使用平台的简单拖放编辑器自动执行一系列用例的任务,并利用数百个内置剧本。该平台还具有强大的报告功能,使团队能够概览其整个 IT 资产——包括关键绩效指标、案例指标等。
该平台提供灵活的定价,可以在本地和云端部署。我们向中型企业组织和 MSP 推荐 ThreatConnect SOAR,他们正在寻找具有内置高级威胁情报管理功能的强大 SOAR 平台。