SOAR技术文章 【转载】SOAR 百问千答-03 期(雾帜智能)
我们将以 “AI 人机协同 +SOAR” 产品HoneyGuide的身份持续连载与 SOAR(Security Orchestration, Automation and Response 安全编排、自动化和响应)相关的系列问题和解答。
为了不耽误您的时间,SOAR 百问千答活动所有回答尽量做到言简意赅,减少赘述。希望您喜欢这个风格:)
HoneyGuide#SOAR-FAQ-05 问:SIEM 和 SOAR 的区别是啥?
答:
SIEM:Security Information & Event Management 安全信息事件管理系统,通常以关联分析规则引擎为核心,对接收到的企业内部所有 IT、网络、安全等安全信息或日志(Security Event)进行分析,发现真实的安全事故(Security Incident)。通常涉及到:日志收集、聚合、归并、过滤、关联、告警、工单、响应、报表、可视化等,其核心是安全威胁精准识别。
SOAR:Security Orchestration, Automation & Response 安全编排、自动化与响应,以安全剧本编排为核心,组合调度各类安全产品和能力,加速安全事件的应急响应处置。通常涉及:事件触发、剧本编排、剧本调度和执行、动作执行、处置跟踪等,其核心是安全响应自动执行。
安全事件响应本应是 SIEM/SOC 平台的功能模块,因此也有相关的安全厂商在自身 SIEM 产品中集成了 SOAR 能力。这类架构中 SOAR 更多地是与自身 SIEM 做深度整合,对 SIEM 有较高的依赖,缺乏通用性。作为独立的产品的 SOAR,可以更加专注于编排核心能力,和外部产品接入能力。
独立产品实现的 SOAR 能够更加专注于高效的自动化响应和运营,也减少了部分客户为了使用 SOAR 而购买一个臃肿的 SIEM/SOC 的尴尬。越来越多的企业开始将 SIEM/SOC 与 SOAR 分离,以发挥各自独特的优势。
注:通常安全解决方案要求产品异构,完全依靠某个厂商的全家桶产品是几乎不可能的。
HoneyGuide#SOAR-FAQ-06 问:SOAR 产品如何调用外部安全能力?
答:
为了能够与主流安全产品对接,实现在 SOAR 产品中对外部安全能力的编排,SOAR 产品必须支持以各类方式与外部能力进行交互(读取数据、下发策略、获取状态),即使是没有提供标准 API 的产品。
相对来说,国外产品较为规范,有标准的 API 接口和文档,但国内产品这方面总体上还比较欠缺。对于有标准 Restful API 的产品,SOAR 产品能够比较快地完成适配开发;而那些无法直接用 API 操作的设备往往是接入的难点。针对此类设备,通常可以考虑通过标准 HTTP(S)、SOAP、SSH、Telnet、WebSocket、SNMP、JDBC等方式进行交互。
下图是雾帜智能产品与外部系统对接方式的案例:
注:对接一款产品不是通过 SOAR 产品完全实现一个目标系统原有的所有功能,而是去实现在应急响应过程中实际要执行的个别功能。
好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。
关于雾帜智能
雾帜智能:
2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。
HoneyGuide:
2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世:
- 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题;
- 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。
HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。
往期参考:
本文转载于:
666