国外产品 15 款国外流行 SOAR 产品综述

xiaobing · 2020年06月04日 · 5390 次阅读

最初 SOAR 这个词最初是 Gartner 在 2015 年的 InnovationTech Insight for Security Operations, Analytics and Reporting 中提出的,此时的 SOAR 定义还与现在不同,主要是 Security operations、analytics、reporting。

而现在大家所熟悉的内涵为 Security Orchestration, Automation and Response 的新 SOAR 是 Gartner 在 2017 年重新定义的。按照 Gartner 的说法,新的 SOAR 是从安全编排和自动化(SOA),安全事件响应(SIR)和威胁情报平台(TIP)整合而来。

SOAR 对于释放安全分析师的时间,提高整体响应效率,提高安全中心的运营效率有积极的价值和作用。今天,SOAR 的核心价值已经成变成了优化和改进 SOC 的重要支持,威胁监控和响应等。

SOAR 跟 UEBA 和 TI 类似,虽然可以是一个单独的产品,但随着传统产品边界的外延,更多的可能会成为其它产品的一个新的标准功能。SOAR 目前的发展更倾向于发展成为 SIEM 和 SOC 的一个组件。但笔者认为,SOAR 的编排,自动化和响应的思路,对于任何检测和响应类产品都是值得借鉴的思路,将来在更多的产品中都会融合 SOAR 的思路,出现 SOAR 的影子。SOAR 的产品这几年出现了很多,下面就介绍其中比较流行的 20 款。 1、LogRhythm。2018 年 LogRhythm 在其 NG SIEM 产品中集成了 SOAR,LogRhythm 的 SOAR 组件 SmartResponse 可在任何业务环境中自动化工作流程并加速威胁鉴定和调查。这使公司更容易更有效地管理时间,并且将人力资源用于复杂的事件响应任务。LogRhythm 支持从端点隔离到计算机数据收集,网络访问暂停等所有内容。使用此简单易用的工具,可以升级您的安全自动化策略,并使业务更高效地运行。

2、Splunk。2018 年 Splunk3.5 亿美元收购 Phantom Cyber,成为其产品中的 SOAR 组件 Splunk Phantom,强化了其安全工具集的能力。Splunk Phantom 的核心是可视化剧本编辑器 Visual Playbook Editor。VPE 允许开发人员和业务团队构建具有拖放功能的复杂而简单的 Phantom Playbook。可以以图形方式构建剧本,而 VPE 可以在后台实时生成代码。Splunk 还提供 Playbook Canvas and Function Blocks,可以为单个工作流程设计特定的自动化流程。

3、Rapid7。2017 年 rapid7 收购了 Komand,形成其 SOAR 产品 InsightConnect。InsightConnect 使团队无需任何 code 背景即可使用,提供了 290 多个插件来连接关键工具并创建自定义工作流程。

4、FireEye。2016 年 FireEye 以 3000 万美元收购 Invotas,集成在其 Helix 安全平台,以增强其自动化编排和响应的能力,提高威胁响应的速度。Helix 的 SOAR 集成了胁情报和编排,以自动进行威胁的检测,分类,响应和补救。通过自动执行人工任务并减少响应时间来提高员工效率。它通过 Mandiant 事件响应者开发的预先制定的操作方案,帮助提高分析师的技能并加快调查速度,并集成了 150 多种第三方工具和数据源,可对安全堆栈进行无缝的单窗格管理。

5、RSA。RSA 的 SOAR 是作为其 SIEM 产品 RSA NetWitness 平台的一个组件。它集成了数百种预配置和可自定义的剧本,使团队可以协作,简化和自动化事件响应。并通过威胁情报使 SOC 可以更好地理解威胁并根据威胁采取行动。它与仅使用其它工作流的解决方案不同,利用威胁情报实现不断适应的丰富上下文和行动手册。支持工作流中的跨团队协调。

6、IBM。2016 年,IBM 收购了 Resilient Systems 作为 IBM X-Force 威胁管理服务产品的一部分,Resilient 重点关注案例管理,业务流程和自动化以及人机智能。作为并且是。它通过 IBM X-Force Exchange,可以在共享 IBM 以及其技术合作伙伴和用户创建的 150 多个应用程序。同时,Resilient 还可以与 QRadar 集成提供了,形成 SOAPA 解决方案。IBM Security QRadar 是一个安全信息和事件管理(SIEM)平台,可以提供安全分析以洞悉最关键的威胁。一旦检测到威胁,QRadar 就可以与 Resilient 一起管理事件响应,同时将自动化应用于其他安全用例,例如威胁搜寻,漏洞管理和安全警报分类。通过这种方式,QRadar 和 Resilient 可以形成合力,帮助组织提高安全效率,同时简化并提高安全运营的效率。

7、ThreatConnect。ThreatConnect 成立于 2011 年,提供基于统一平台的威胁情报平台(TIP)和安全编排与自动化(SOA)功能。ThreatConnect 可以将情报应用到安全流程和工作流程。它的剧本使用简单的拖放功能自动执行几乎所有网络安全任务。网络钓鱼电子邮件和 IP 地址指示器等触发器会自动将数据传输到应用程序,以执行一系列功能。

8、Ayehu 。Ayehu 成立于 2007 年,是企业级 IT 流程自动化解决方案的领先提供商。Ayehu NG 的主要功能是剧本调度,可启用选择性警报来支持事件的远程控制,审计跟踪生成,工作流变更回滚以及基于角色的工作流访问,以维护两个团队(IT 和安全性)的访问隔离。此外,Ayehu NG 使用机器学习来建议剧本和规则的创建。此外,Ayehu NG 弥合了 IT 和安全运营(网络运营中心 [NOC] 和 SOC)之间的鸿沟,简化了自动化的工作流程和任务,并解决了 IT 和安全警报与事件,从而提高了 SLA。它可以与 ServiceNow,McAfee ESM,SolarWinds 等无缝集成,扩展并统一了跨不同系统和应用程序的全面工作流自动化。

9、Swimlane。Swimlane 成立于 2014 年,它的一项关键功能是使用可视化的拖放式操作来表示复杂的工作流程的剧本,Swimlane 的剧本可以进行高度定制,以使用适合您现有人员,流程和技术的工作流程来解决几乎任何用例。利用所需的许多自动操作来实施无限的剧本和工作流,而无需支付额外费用。2020 年 4 月,Swimlane 收购了 Syncurity(Syncurity 也是去年 Gartner 报告中 SOAR 的 vendor),它专注于安全事件响应和案例管理。

10、DFLabs。它成立于 2013 年以来,专注于事件响应和威胁情报,它的 SOAR 产品 IncMan 可用于 SOC,MSSP 等。IncMan 在两种情况下使用机器学习:用于基于针对相似或相关威胁的步骤建议采取的措施,以及用于对安全事件进行预分类的分类.在 MSSP 情况下,IncMan 为每个单独的客户创建一个专用的,可定制的和精细的运行手册库。不再依赖电子表格,Word 文档和其他手册。可以在多用户 MSSP 环境中跨租户自动关联和重新应用剧本。

11、Cyberbit。Cyberbit 成立于 2015 年,是 Elbit Systems 的子公司,通过其 SOC 3D 平台提供 SOAR。SOC 3D 基于三项主要功能:编排,自动化和大数据调查,并且包括用于剧本创建和编辑的剧本生成器。Cyberbit 还提供用于培训和模拟的 Cyberbit Range,用于 OT 可见性和威胁检测的 SCADAShield 和 SCADAShield Mobile,以及用于端点检测和响应的 Cyberbit 端点检测和响应(EDR)。这些产品可以选择与 SOAR 平台集成,以进行 IT / OT 检测和响应。

12、Demisto。Demisto 成立于 2015 年,2019 年被被 Palo Alto Networks 以 5.6 亿美元的收购。Demisto 的 Cortex XSOAR 的重点一直是通过为 SOC 分析人员提供单一平台来管理事件,自动化和标准化事件响应流程以及在事件调查方面进行协作,来优化安全操作的效率。它利用机器学习(ML)来支持诸如事件分类等功能,或为 SOC 分析人员提供下一步建议。Cortex XSOAR 为分析人员提供了一个作战室,以便他们协作调查事件,并自动记录事件发生后的报告。Cortex XSOAR 提供强大的事件/案例管理和剧本自动化功能,以及 300 多种现成的产品集成。

13、Siemplify。Siemplify 成立于 2015 年,提供了上下文驱动的调查功能,这些功能在视觉上将事件与组警报相关联,以帮助分析师减少响应时间。与案例管理一起,它有助于控制整个 SOC 分析人员的事件流。此外,Siemplify 使用机器学习功能确定优先级并建议哪个分析师最适合特定事件。还为托管服务用户提升了多租户功能。

14、ServiceNow。ServiceNow 的 SOAR 产品 Security Operation 是从 Now Platform 作为 SaaS 交付的,并提供工作流,案例管理,业务流程和自动化以及威胁情报管理。附加功能还解决漏洞管理和安全操作指标,报告和仪表板,配置合规性以及治理风险和合规性。

15、D3 Security。D3 Security 根据 MITER ATT&CK 框架或其他战术,技术和程序(TTP)资源,使用自动杀伤链剧本来响应攻击意图。它集成了 260 多种现成的安全工具。D3 已将整个 MITER ATT&CK 矩阵构建到其平台中,以创建 ATTACKBOT,这是一个功能强大的工具,可与 D3 的编排功能协同工作,以检测和破坏高级攻击。当 D3 检测到 MITRE 分类的数百种攻击技术之一时,会将其视为可能的 “杀伤链” 中的链接 - 敌人可能会采取一些步骤来达到目标。然后,ATTACKBOT 协调所有集成系统(例如防火墙,SIEM 和端点)中的查询,以发现 kill 链中其他链接的痕迹。找到更多的攻击要素后,ATTACKBOT 可以编排应对手册以应对攻击,或者将有针对性的 IOC 置于持续的 Kill Chain Surveillance 之下以收集更多信息。

综合而言,SOAR 集成了原有的威胁情报和安全工具,简化了时间响应,加快了调查过程,减少了攻击损害,降低了误报率,节约了人力成本,还可以与 IT 运维工具集成,提高了生产效率。虽然从理论上 SOAR 产品是一个单独的品类,更侧重于分析,与传统的 SIEM 和 SOC 有比较清晰的分界线,但是随着下一代 SIEM 和 SOC 等产品功能的自然延展,分界线也可能会越来越模糊。其实笔者研究 SOAR 的原因也是如此,对于传统有检测、分析、响应类功能的产品而言,从产品设计的内涵角度,或多或少会侵入到 SOAR 的定义范畴内,实现自身所需要的 SOAR 的一部分功能。

SOAR 产品一个很重要的特性是集成,既包括与大量第三方安全产品和工具的集成,也包括大量被其它产品安全产品集成,这一点对于国内网络安全生态来说是一个巨大的挑战,这也是很多产品会自己实现一个自己所需要的小型 SOAR 融入其产品功能的原因之一。

来源:王文宇 网安网事

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册