SOAR技术文章 SOAR 百问千答-02 期（雾帜智能）

wuzhi · 2020年08月02日 · 2553 次阅读

我们将以 “AI 人机协同 +SOAR” 产品 HoneyGuide 的身份持续连载与 SOAR（Security Orchestration, Automation and Response 安全编排、自动化和响应）相关的系列问题和解答。

为了不耽误您的时间，SOAR 百问千答活动所有回答尽量做到言简意赅，减少赘述。希望你喜欢这个风格：）

HoneyGuide#SOAR-FAQ-03 问：SOAR 交付成本是不是很高？

答：

首先，交付一架战斗机和一架民航客机完全是两回事。相比较 IDS、防病毒等系统，SOAR 交付过程中的确有一部分人工工作量；但是一旦部署成功，其产生的价值产出也是巨大的。

其次，SOAR 交付的主要工作量在于：

除了标准产品交付过程中的服务外，雾帜智能还使用了如下方法进行成本缩减：

集中开发，实现对一批市场主流安全产品或能力的支持，目前 HoneyGuide 支持100+ 国内网主流安全产品、网络设备、IT 系统、SaaS 服务的能力对接，未来还会开发更多；
提供专门用于应用对接开发的编程 SDK（支持 Java 和 Python）和辅助工具（图形化操作自动生成目标应用包），供厂商、客户和合作伙伴使用。通常对接一款目标设备的开发时间是 0.5~3 天，具体取决于要对接的产品复杂度、要对接的功能点数以及对应用可靠性的要求（持续优化）；
提供初始的30 个通用的安全场景剧本模板，加速剧本落地，同时鼓励用户参考和修改后根据自身流程定义安全剧本；
提供标准化的用户操作手册、开发指导手册以及视频培训资料等；
在已用项目案例基础上，增强经验积累，优化从 PoC 开始到最终项目交付过程中的环节，提升效率
持续为合作伙伴赋能，由合作伙伴参与应用能力开发对接，减少产品厂商资源投入

HoneyGuide 外部能力支持清单

注：时间成本投入与具体的产品形态有关，其收入产出也是。

答：

标准 SOAR 产品核心技术主要涉及剧本编排引擎、剧本前置引擎、剧本调度引擎、动作执行引擎、规则引擎。

SOAR 产品核心技术

提供可视化的图形界面，允许用户使用拖拽的方式实现安全响应流程的编排；不同产品在细节上实现不一样，雾帜智能 HoneyGuide 支持在剧本编排过程中插入动作、判断（基于规则）、审批、虚拟动作等节点，更支持循环、异步等待、嵌套剧本、上下文共享等高级功能。

接收来自 SIME、SOC、态势感知等系统发来的安全事件，根据前置规则对安全事件类型进行识别，然后启动执行对应的应急响应剧本。

安全事件（主动或被动）发生后，启动执行编排好的安全剧本，并实施跟踪剧本执行状态，完成剧本任务调度。同样还需要识别超时、异常等状态的剧本，并予以修复。

安全剧本启动后，执行到每个节点会调用相应的动作。动作执行引擎负责与外部安全设备/系统的对接，完成状态获取，数据查询和命令下发，如：调用防火墙封禁一个 IP、重启一个交换机设备、启动一个 Web 安全扫描任务。

剧本编排过程中涉及到不同节点的输入、输出信息，也包括上下文信息。这些信息是否满足特定条件，需要通过规则引擎去判断，如：

凡此种种，都离不开强有力的规则引擎。

注：雾帜智能 HoneyGuide 不仅仅是一个 SOAR 产品，更是一款以 AI 人机协同 +SOAR 编排自动化为核心的协同作战平台。

好了，本期就到这里。如果您有任何 SOAR 方面的问题，请给我们留言，HoneyGuide 一定会认真答复。

2019年4月10日，上海雾帜智能科技有限公司正式成立；公司专注于将人工智能技术和现实应用场景结合，通过显著提升自动化能力助力企业解放生产力。

2019年8月21日，上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世：

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术，产品大幅提高了企业安全应急响应速度，全面降低企业安全运营的成本。

暂无回复。

需要登录后方可回复, 如果你还没有账号请点击这里注册。