SOAR技术文章 【转载】SOAR 百问千答-05 期(雾帜智能)

jokerface · 2020年09月02日 · 88 次阅读

我们正在以 “AI 人机协同 +SOAR” 产品HoneyGuide的身份持续连载与 SOAR(Security Orchestration, Automation and Response 安全编排、自动化和响应)相关的系列问题和解答。

为了不耽误您的时间,SOAR 百问千答活动所有回答尽量做到言简意赅,减少赘述。希望您喜欢这个风格:)

HoneyGuide#SOAR-FAQ-09 问:什么样的场景适合 SOAR?

答:

一句话:SOAR 最适合那些重复、耗时且需要手工参与的 Online 工作场景,例如:

  • 每隔一个周期(小时/天/周)对系统进行巡检、维护或监测;(定时、巡检
  • 多人、多设备不定期的协同处置的固定类型事件,如:钓鱼邮件分析、服务器感染病毒、DDoS 攻击响应、Web 攻击处置等;(调查、分析
  • 安全工作过程中的小碎活:查询一个 IP 地址在内网的活跃历史,调查某个 IP/用户的资产信息,针对某个外网 IP 地址做信息丰富等;(信息收集
  • 极短时间内登录设备获取数据或下发策略,如:批量在 N 个不同类型设备上封禁指定 IP,一键完成人员离职审查等;(响应、处置
  • 有着基本相同策略、过程的体力活:开展跨设备、跨系统的事件分析和攻击溯源等;(溯源
  • 要求支持 7x24 小时场景的自动化安全应急响应工作。(自动化

汪博说过:如果一件事重复做了两次,你就该考虑自动化了。

HoneyGuide#SOAR-FAQ-10 问:SOAR 的使用者是哪些人?

答:

SOAR 产品的第一用户是参与和处置应急响应的一线工作人员。当然,在安全事件响应过程中,往往还会有跨团队、跨部门的人员介入,甚至有高层领导的参与。就 SOAR 产品本身来说,用户主要分为两类,普通用户和专家用户。(产品自身可以根据定义不同的角色身份并做细粒度的权限控制)

  • 普通用户:使用安全剧本和协同作战室,开展应急响应工作,设计编写简单的安全剧本。(用产品
  • 专家用户:沉淀企业内部安全运营经验,并编排成高级剧本。使用剧本编排的高级功能,实现复杂场景的安全编排。(让产品用得更好

注:围绕 SOAR 产生了一些新的角色分工,例如:企业内部安全、网络、IT 等设备应用对接的开发工程师,SOAR 系统运营和维护人员,剧本编排设计工程师。

好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。

下期预告:

  • HoneyGuide#SOAR-FAQ-11 问:安全作战室是什么?
  • HoneyGuide#SOAR-FAQ-12 问:为什么需要人机协同?

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世: 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题; 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

往期参考:

本文转载于:

SOAR 百问千答-05 期(雾帜智能)

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册