SOAR技术文章 【转载】SOAR 百问千答-06 期(雾帜智能)

jokerface · 2020年09月14日 · 77 次阅读

我们正在以 “AI 人机协同 +SOAR” 产品HoneyGuide的身份持续连载与 SOAR(Security Orchestration, Automation and Response 安全编排、自动化和响应)相关的系列问题和解答。

为了不耽误您的时间,SOAR 百问千答中所有的应答尽量做到言简意赅,减少赘述。希望您喜欢这个风格:)

HoneyGuide#SOAR-FAQ-11 问:安全作战室是什么?

答:

当发生一个新的安全事件时,传统的企业应急响应团队通常会创建一个沟通群组进行事件响应,类似 Slack、Discord、TG、微信、钉钉等 IM 沟通的群聊或频道。

安全作战室是一个综合性的安全沟通频道或群组,方便当前事件相关的人员在一个集中的虚拟场所开展高效的事件处置与协同。

雾帜智能 HoneyGuide 的虚拟作战室允许安全工程师通过功能菜单、命令提示符、快捷键或自然语言调度外部的各种资源或能力(安全、网络、IT、SaaS 等)。

  • HoneyGuide 为每个安全事件创建一个作战室(创建事件
  • 每个事件/作战室可以根据需要增加参与处置的人员(邀请人员
  • 作战室支持文字、图片、文件等方式交互(交互信息
  • 快速标记事件处置状态(处置跟踪
  • 便捷的安全能力和安全剧本调度(执行动作或策略
  • 调用外部安全能力,如:重启一个服务器,发送一条消息,封禁一个 IP、查询某个域名的威胁情报、启动某个安全策略、冻结一个账号等
  • 友好的人机、人人互动操作界面(操作体验

HoneyGuide 安全作战室截图

注:参与安全事件处置的人员往往不只是几个安全工程师;因此,安全作战室必须采用合适的技术方法实现多人多并发在线的事件处置和消息同步。

HoneyGuide#SOAR-FAQ-12 问:为什么需要人机协同?

答:

安全事件响应的核心诉求是:快!

而现实中,安全团队在协作时往往耗费大量的时间用在人与人、人与机器的互动上。例如:安全主管口头或微信安排工程师完成某个调查,安全工程师通过线下、线上方式与 IT、运维、开发进行沟通,再由相关人员登录 A、B、C 等系统执行一些列操作并获取返回结果。从安全主管发出需求到收到反馈,往往耗时数十分钟或数小时。安全应急响应本来是争分夺秒的过程,耗时太久必然导致风险提升。

合理的人机协同功能能够帮助安全人员快速处置事件,减少交互等待,例如:

  • 通过交互界面直接向安全设备下发指令,查询数据或者执行策略
  • 通过自然语言调度安全能力,像和同事沟通一样与设备进行互动

只有安全工程师(经验与直觉)与机器(智能与速度)发挥各自的优势,完成技能弥补,在安全响应环节中充分协同,才能最大限度提升应急响应的速度和质量。

安全作战室人机交互过程示例

注:雾帜智能一直倡导将人类智慧与机器智能两者相结合,充分发挥各自优势,全面促进人机协同,最终加速应急响应。

好了,本期就到这里。如果您有任何 SOAR 方面的问题,请给我们留言,HoneyGuide 一定会认真答复。

下期预告:

  • HoneyGuide#SOAR-FAQ-13 问:自动化运维与 SOAR 有什么关系?
  • HoneyGuide#SOAR-FAQ-14 问:SOAR 产品自身安全性如何保证?

关于雾帜智能

雾帜智能:

2019年4月10日,上海雾帜智能科技有限公司正式成立;公司专注于将人工智能技术和现实应用场景结合,通过显著提升自动化能力助力企业解放生产力。

HoneyGuide:

2019年8月21日,上海雾帜智能科技有限公司在北京望京凯悦酒店举行主办了 “智无界.AI 无极 雾帜智能风险决策平台发布会”。一款以 SOAR+AI 作战室为核心的安全应急响应类产品 HoneyGuide 正式面世: 用 “AI 机器人” 和 “安全作战室” ,解决人人、人机的协同问题; 用 “安全剧本” 将应急响应中的各个单点动作串联起来,实现流程自动化,解决安全事件响应中严重依赖人工操作的问题。

HoneyGuide 在 “自然语言交互”、“安全动作推荐” 和 “安全剧本智能优化” 等方面了引入了人工智能因素。通过在关键环节使用 AI 技术,产品大幅提高了企业安全应急响应速度,全面降低企业安全运营的成本。

往期参考:

本文转载于微信公众号:雾帜智能

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册