我们正在以 “AI 人机协同 +SOAR” 产品HoneyGuide的身份持续连载与 SOAR(Security Orchestration, Automation and Response 安全编排、自动化和响应)相关的系列问题和解答。
为了不耽误您的时间,SOAR 百问千答活动所有回答尽量做到言简意赅,减少赘述。希望您喜欢这个风格:)
HoneyGuide#SOAR-FAQ-09 问:什么样的场景适合 SOAR?
答:
一句话:SOAR 最适合那些重复、耗时且需要手工参与的 Online 工作场景,例如:
- 每隔一个周期(小时/天/周)对系统进行巡检、维护或监测;(定时、巡检)
- 多人、多设备不定期的协同处置的固定类型事件,如:钓鱼邮件分析、服务器感染病毒、DDoS 攻击响应、Web 攻击处置等;(调查、分析)
- 安全工作过程中的小碎活:查询一个 IP 地址在内网的活跃历史,调查某个 IP/用户的资产信息,针对某个外网 IP 地址做信息丰富等;(信息收集)
- 极短时间内登录设备获取数据或下发策略,如:批量在 N 个不同类型设备上封禁指定 IP,一键完成人员离职审查等;(响应、处置)
- 有着基本相同策略、过程的体力活:开展跨设备、跨系统的事件分析和攻击溯源等;(溯源)
- 要求支持 7x24 小时场景的自动化安全应急响应工作。(自动化)
汪博说过:如果一件事重复做了两次,你就该考虑自动化了。
HoneyGuide#SOAR-FAQ-10 问:SOAR 的使用者是哪些人?
答:
SOAR 产品的第一用户是参与和处置应急响应的一线工作人员。当然,在安全事件响应过程中,往往还会有跨团队、跨部门的人员介入,甚至有高层领导的参与。就 SOAR 产品本身来说,用户主要分为两类,普通用户和专家用户。(产品自身可以根据定义不同的角色身份并做细粒度的权限控制)
- 普通用户:使用安全剧本和协同作战室,开展应急响应工作,设计编写简单的安全剧本。(用产品)
- 专家用户:沉淀企业内部安全运营经验,并编排成高级剧本。使用剧本编排的高级功能,实现复杂场景的安全编排。(让产品用得更好)
注:围绕 SOAR 产生了一些新的角色分工,例如:企业内部安全、网络、IT 等设备应用对接的开发工程师,SOAR 系统运营和维护人员,剧本编排设计工程师。
好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。
下期预告:
- HoneyGuide#SOAR-FAQ-11 问:安全作战室是什么?
- HoneyGuide#SOAR-FAQ-12 问:为什么需要人机协同?
关于雾帜智能
雾帜智能:
2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。
HoneyGuide:
2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世: 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题; 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。
HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。
往期参考:
- 为什么你的应急响应需要 SOAR?
- 关键时刻,你需要一名智能队友!
- SOAR 百问千答-01 期(雾帜智能)
- SOAR 百问千答-02 期(雾帜智能)
- SOAR 百问千答-03 期(雾帜智能)
- SOAR 百问千答-04 期(雾帜智能)