SOAR：Security Orchestration, Automation, and Response 安全编排、自动化与响应

WAF：Web Application Firewall，Web 应用防火墙

热点关注

在网络安全领域，企业和个人都面临着越来越严峻的挑战。近期，国内知名 WAF 安全厂商长亭科技推出了雷池 WAF SafeLine 社区版，引发了业界的广泛关注。雾帜智能，作为国内领先的 SOAR 厂商，第一时间完成了雷池 SafeLine 社区版本的能力适配。

雷池 WAF+ 雾帜智能 SOAR

长亭科技的雷池 SafeLine 社区版 WAF 为广大中小企业和个人提供了免费的网络防护服务，降低了他们的网络安全成本。而雾帜智能作为国内领先的 SOAR 厂商，拥有业界领先的安全剧本编排能力和应用安全联动能力。HoneyGuide SOAR 产品通过提供开放的应用 APP 开发 SDK，已经支持了长亭蜜罐、雷池 WAF 商业版，并在第一时间支持了长亭雷池 SafeLine 社区版。

Online Demo: https://demo.waf-ce.chaitin.cn:9443/

因社区版功能限制（官方说未来会开放更多功能），目前 HoneyGuide 只做了 “增加站点” 这一功能的对接。更多高级功能，请参考 HoneyGuide 已经对接的雷池 WAF 商业版应用 APP。

SOAR+WAF 的组合应用方案

SOAR 产品和 WAF 在网络安全领域有着许多可以结合的地方。例如，通过查询 WAF 日志可实现攻击行为联合分析，通过 SOAR 剧本可实现虚拟补丁快速批量下发功能，可将安全策略迅速应用于企业的各个节点，提高防护效果。此外，HoneyGuide SOAR 还可以帮助企业在面临突发安全漏洞时进行应急处置，确保网络安全。

SOAR+WAF 的安全剧本应用场景：

信息增强——跨产品跨设备的信息查询

典型的安全事件分析过程涉及到多品类产品的访问和数据查询。通过 SOAR 提前对接的 WAF 能力， 可以在攻击行为分析或者入侵溯源分析过程中，调用 IDS、WAF、VPN 等多品牌多设备的安全日志，大幅减少安全人员的软件切换、界面操作和时间等待，加速安全事件响应。

快速止血——一键批量下发虚拟补丁

当再次出现类似 Struts2、Apache Log4j2、CMS 注入等安全漏洞时，可通过 SOAR 剧本批量自动化下发 WAF 拦截策略，实现虚拟补丁热修复。

通过向 WAF 下发特定的 HTTP 请求拦截策略（URL 特征，HTTP Header 特征，Cookie 特征，HTTP Body 特征等），可实现攻击代码线上拦截，缓解安全风险，为安全人员漏洞分析，系统加固，风险评估和漏洞修复赢得宝贵的时间窗口。因为每一次爆发的安全漏洞不一样，因此通过 SOAR 剧本可以固化操作流程，加速应急响应，在应对突发情况时做到分秒必争地开展高水平应急响应。

一键关站——突发情况应急

我们的部分客户门户系统有极高的敏感性要求，在发生突发情况时有必要进行 “拔网线” 操作，通过防火墙或 LBS 等设备操作往往过于繁琐，对于使用了 WAF 而网络结构比较简单的客户，可以通过 SOAR 剧本联动 WAF，直接实现一键关站，并在事态得到控制后，再一键上线。操作极其简单，完全不依赖技术人员的能力、状态和数量。

WAF 巡检——批量定时巡检 WAF 设备

对于一些预算较为充裕的客户来说，采购的 WAF 设备不止一台，安全设备或系统加起来可能上数十个。针对这些设备做一次完整的安全巡检，光输入密码可能就需要几十分钟，无法开展全天候的自动化安全设备巡检。但是通过 SOAR 产品却可以配置定时剧本，首先自定义的巡检，并可以根据巡检策略，设置不同的问题处置方式，如：短信通知、策略重制甚至是某些旁路设备的重启等。

写在最后

迄今为止，雾帜智能 HoneyGuide SOAR 产品已经完成了 450+（还在递增）主流安全产品、网络设备、IT 应用和 SaaS 服务的能力对接，包括长亭蜜罐、长亭 WAF 商业版、雷池 Safeline 社区免费版。

本次，通过 HoneyGuide SOAR 产品与雷池 SafeLine 社区版的能力结合，为广大用户提供更加完善的网络安全解决方案。

• 雷池 SafeLine 社区版：https://github.com/chaitin/safeline

• 《长亭那个超强的 WAF，出免费版啦》：https://mp.weixin.qq.com/s/FUbYRl7sxaY_oTp0O0h8gg

转载声明

原文来自 “雾帜智能” 公众号文章