问题
当今的安全分析师在尝试及时识别、评估、响应和补救警报时面临严峻的挑战。此外,随着新的物联网(IoT)设备添加到网络中,攻击者开发新技术和复杂性,威胁形势继续增长,给已经不堪重负的安全运营中心(SOC)团队带来了额外的压力。
分析师打开、阅读和理解警报所需的手动工作非常重要。为了确保他们拥有完整的信息,他们还必须在调查中识别并考虑任何相关的警报。大多数 SOC 分析师通过将 IP 地址、文件哈希、URL 等复制并粘贴到与威胁情报源接口的浏览器选项卡或窗口中来实现此目的。还必须将结果复制并粘贴回警报或事件记录中,以便为现有数据提供上下文。
“分析麻痹” 会出现在这里:因为每天重复同样单调的任务而导致的大脑麻木(对某些人来说,晚上也是如此)。但是不是一定要这样。
既然我们无法摆脱这个问题,合乎逻辑的解决办法就是找到更好的方法来执行这个过程。安全编排、自动化和响应(SOAR)解决方案可以消除大多数(如果不是全部)这些手动任务,并帮助确保以一致、可重复的方式以机器速度处理每个警报。
SOAR 是一种解决方案
最大化 SOAR 解决方案的第一步是设置强大的事件响应流程。这些流程在 SOAR 平台中作为行动手册复制,用于完成任务和工作流,以协调操作。通过这样做,您可以确保:
事件响应过程是一直且可以重复的,消除了人为错误的可能性。
SOC 改进有明确的定义和指标报告显示,当响应警报时平均检测和响应时间以及最小停留时间大幅减少。
分析师的入职和培训工作是高效并且标准化的。
文档化的工作流提供了一本参考指南,同时也有助于确保分析员学习和使用正确的技术和方法来处理每种类型的事故。
SOAR 实现还提供了一个单一的统一视图,极大地改善了分析员的日常工作。分析师无需学习、使用并不断重新配置每个安全工具的独特设计和特性,即可使用 SOAR 平台的一致的接口工作。此新的中央安全组件成为设计和测试处理警报和事件的新流程的高级位置。使用工作流生成器提供了一个简单的拖放界面,可以快速连接和重新排列不同的数据交换组合,使工程师和分析师能够优化其流程。通常,无需编程,用户可以快速高效地测试工具和数据连接的不同组合。
投资回报
使用 SOAR 实时跟踪投资回报(ROI)很容易实现。许多 SOAR 平台都提供了一个管理工具,允许您在时间和金钱上设置执行手动操作的成本值。提供这些信息后,SOAR 平台可以实时计算 SOAR 平台执行的每个操作节省的平均时间和金钱。
随着 SOAR 的实施,分析师的效率开始成倍的增长。一个分析员可以轻松地处理多个任务,而这是他们之前处理单个任务所需的时间。这些效率通常在定义良好且经过优化的用例中最为丰富。由于其流行性和对 SOC 的重要性,最常用的实现用例是网络钓鱼、SIEM 警报分类和威胁情报。
定义良好的流程是关键。从程序的角度来看,这些案例往往定义得很好,而且往往是 SOAR 推出的第一个也是最容易的。通过从这些用例开始,可以更轻松地确定手动工作量和时间的重要要素被花费到哪里,并寻找机会,通过自动化和编排来减少或消除这些要素。
使用 SOAR 实现的每个新用例都以几乎对数的速度提高效率。然后添加更多独特的用例,如 VPN 监控,员工入职和离职,或域名占用监控变得更加容易,只会增加整体的时间和手动工作。
每个操作的时间和每个操作的成本的 SOAR 值对于从 ROI 计算中获得最佳结果至关重要。其他报表、图表可以提供对您最有价值的 KPI。不要忘记,仪表板对于用户或角色是唯一的。SOAR 可以跟踪用户、组、角色、工具、工具组以及您可能要跟踪的任何东西的性能。让它成为你自己的,并确保你从你的 SOAR 工具得到的是你需要的最大化你在 SOAR 的投资。
转载声明
本文翻译自 Heather Williams 的 How to Maximize Your SOAR Investment?,转载链接:https://swimlane.com/blog/how-to-maximize-your-soar-investment-roi。如有侵权请联系 1912554098@qq.com