当今，新技术和新应用不断涌现，网络环境日益复杂，网络威胁形势严峻。对于企业和组织而言，无论规模和行业如何，安全运营需要关注的数据量都在不断增长。面对多样化的网络威胁，需要更高效、智能的技术来处理，同时安全人才的短缺也是企业和组织面临的一个挑战。

SOAR 是 Security Orchestration, Automation and Response（安全编排、自动化和响应）的缩写，近年来备受业界关注。SOAR 承载的是结合人、工具、安全设备和工作流的数字化安全过程，是安全自动化和数字化的核心元素。随着国产 SOAR 产品的不断成熟，越来越多的国内企业也开始践行将 SOAR 平台作为安全基础架构的核心部分，帮助解决安全运营中的 “安全、成本和效率” 的三体问题，即在兼顾安全的情况下，平衡安全运营成本和效率。

国舜解读

目前市场上 SOAR 产品解决方案能力主要集中在联动处置上，而往往在安全运营的工作中客户更多的精力还分布在以下几个方面：

● 告警多误报多，重要告警被淹没

理论上来说，拥有更多的数据可以提供更准确的安全洞察力，但过多的数据会使重要的安全告警被淹没在大量的无用信息中，安全运营人员产生疲劳感而忽略真实告警的风险

● 多部门难协调，事件取证难

在日常安全运营的工作中，往往对一件事件进行处理，需要线下协调多部门，而复杂多变的网络攻击形势下，没有标准化的安全运营事件处理流程，安全运营人员容易陷入被动，四处救火。

● 研判分析能力不足，依赖人工响应

为了解决安全运营中的的痛点问题衍生发展的 SIEM、SOC、SA 类产品，由于采集的安全设备告警数据质量不高，定义的规则也相应宽泛，而判断攻击是否为真实的攻击、攻击的影响面是什么，仍然需要进行线下的人工判断处理。效率低下不说，且重复低效的劳动无法有效反馈到安全运营体系中。

国舜天璇安全分析响应平台：天璇安全分析响应平台（SOAR）作为一款国内技术创新、功能丰富、面向实战化安全运营的安全编排自动化与响应平台，结合自动化安全技术，将安全专家的安全事件应急响应经验通过剧本的方式固化到平台中，基于威胁场景提供自动化威胁识别、自动化线索取证、自动化威胁研判、自动化误报分析、自动化溯源分析、自动化制定处置方案、自动化联动处置七大安全自动化能力，利用 SOAR 剧本技术将分散的安全工具与功能转化为可编程的应用和动作，然后借助编排和自动化技术，将团队、工具和流程高度协同起来。让平台作为 “安全专家” 7x24 小时的为政企客户提供安全值守服务。

● 提供全天候的风险监控能力

● 提供安全事件智能分诊能力

● 提供多视角的安全运营分析

● 提供灵活的剧本编排能力

通过大量的项目建设，我们深入客户安全运营视角对产品进行不断打磨与迭代，为客户解决痛点问题，赢得客户一致好评。

项目建设案例 | 金融行业

在某客户现场，态势感知平台每天接入原始日志量为四千万，通过策略模型每日产生 100 万的告警，通过策略优化最后压制到 20 万每天，依然误报量巨大，处于无法运营的状态。当面对攻击时，安全专家需要协同业务部门，线下沟通无法得到及时回复，效率低下，安全运营效果不清晰

项目需求：

威胁场景分类

希望通过 SOAR 平台对安全事件进行误报排查，能够将同类型的安全事件进行分类，分诊。

标准化的编排调度能力

将资源和能力进行整合，跨部门自动调度，形成标准化的自动处置流程。

安全运营效果可见

对 SOAR 剧本的处理能力，阶段内的安全运营处置效果提供可视化的呈现。

国舜天璇 SOAR 项目建设

第一：数据接入

根据客户现场的数据接入情况，以及与客户深度讨论，对客户现有的安全运营流程进行评估，我们一共梳理出了 35 种威胁场景，并展开了自动化编排能力的建设。

第二: 排查误报

基于客户现场的安全设备建设情况以及真实的业务场景，我们通过关联规则对告警进行源头上的压制，识别威胁，同时通过 SOAR 误报分析剧本，排查误报。大大降低误报率，层层甄别出真实安全事件。

第三：自动化编排

●自动化取证: SOAR+HIDS

编排威胁场景剧本，威胁场景剧本中通过联动客户已建设的 HIDS 设备进行自动化取证，当威胁来临时自动识别是否可疑，自动取证后进行研判分析。

●自动化研判: SOAR+ 威胁情报

研判分析过程结合第三方威胁情报库以及系统内置高风险 IP 池对攻击者 IP 进行分析，若攻击者 IP 命中有效的威胁情报将进行封堵，若未命中情报，剧本将基于 payload 数据进行分析，识别攻击特征是否真实，若攻击真实存在，将进行联动处置。

●自动化联动处置：SOAR+ 防火墙

通过剧本实现误报分析、研判分析、并自动生成处置方案，当剧本启动时，能够自动化联动处置。前期实施时，将自动化剧本修改为需要人工介入的处置剧本，半自动执行，当客户对此类剧本的自动化能力有信心时放开了自动化处置能力,通过预置的自动封禁剧本，实现了对攻击者 IP 的自动化封堵。

使用状况及收益

目前该银行已将 70% 以上的安全事件处置工作迁移到天璇 SOAR，主要包括告警智能去重、安全事件的研判与处置。目前平台已集成了防火墙、WAF、抗 DDOS、APT、IPS,态势感知系统、CMDB、工单系统、Nessus 等。

1）形成了整体实战防御能力

解决了安全设备和系统相互孤立的现状，通过 SOAR 剧本实现业务场景、安全能力的适配。

2）安全运营能力共享与沉淀

将安全专家解决问题的方法固化到剧本中，将安全事件运营流程化、标准化。对阶段内的安全运营状态，提供可视化报告，并对剧本的使用进行总结。

3）提高安全运营效率

通过剧本编排，实现了日常安全运营事务自动化，减少对人工操作的依赖，大幅节省了人力成本，提高了工作效率。

总结

企业实现自动化的安全运营需要根据自身的安全需求和现状，建立相应的流程和规范。评估一个组织是否适合实现 SOAR 自动化，需要考虑其对安全态势的了解和掌控程度，以及在自身控制措施方面的表现。安全事件的处理通常需要多方协调和联动，因此，实现安全自动化运营需要不断地分析和总结安全运营事件过程，标准化和流程化关键的环节，以确保自动化的顺畅实施。