“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
SOAR是什么?
SIEM工具使IT团队能够:
使用事件日志管理从多个来源整合数据
实时获得组织范围内的可见性
使用if-then规则将从日志中收集的安全事件相关联,以有效地为数据添加可操作的智能
使用可以通过仪表板管理的自动事件通知
SIEM结合了安全信息和安全事件的管理。这是通过实时监控和系统管理员通知来实现的。
SOAR vs. SIEM
安全编排和自动化
检测您环境中的威胁。
对潜在威胁进行分级。
确定是否对事件采取行动。
包含并解决问题。
安全编排能力:
提供更好的安全事件背景。安全编排工具会整合来自不同来源的数据,提供更深入的洞察。因此,您将获得对整个环境的全面视图。
支持更深入、更有意义的调查。安全分析人员可以停止处理警报,转而调查事件发生的原因。此外,安全编排工具通常提供高度互动和直观的仪表板、图表和时间轴;这些可视化在调查过程中非常有用。
改善协作。在某些类型的安全事件中,可能还需要其他各方的参与,包括不同层次的分析师、经理、首席技术官和首席执行官、法务团队以及人力资源。安全编排可以让所有必要的数据都近在咫尺,从而使协作、问题解决和解决方案更加有效。
自动化与编排的区别
虽然安全自动化和安全编排的术语经常被互换使用,但这两个平台发挥着非常不同的作用:
安全自动化减少了检测和响应重复事件和误报所需的时间,因此警报不会在长时间内未被处理。
安全编排允许您轻松共享信息,使多个工具能够作为一个组响应事件,即使数据分布在一个大型网络和多个系统或设备中。
威胁情报管理(TIM)
为什么SOAR很重要?
安全编排使您能够:
集成安全、IT运营和威胁情报工具。您可以连接所有不同的安全解决方案,甚至是来自不同供应商的工具,以实现更全面的数据收集和分析水平。安全团队可以摆脱对各种不同控制台和工具的操控。
在一个地方查看所有内容。您的安全团队可以访问一个提供调查和纠正事件所需所有信息的单一控制台。安全团队可以在一个地方获取所需的信息。
加速事件响应。经证明,安全编排能够减少检测到事件的平均时间(MTTD)和平均响应时间(MTTR)。由于许多操作是自动化的,因此可以立即自动处理大部分事件。
防止耗时的操作。安全编排大大减少了虚警、重复任务和手动流程,这些都占用了安全分析人员的时间。
获取更好的情报。安全编排解决方案从威胁情报平台、防火墙、入侵检测系统、SIEM等技术中汇聚和验证数据,为您的安全团队提供更深入的洞察和背景。这使得更容易解决问题并改进实践。分析师在问题出现时更能进行更深入、更广泛的调查。
改进报告和沟通。通过将所有安全运营活动汇总在一个地方并显示在直观的仪表板中,利益相关者可以获得所有他们需要的信息,包括清晰的指标,帮助他们确定如何改进工作流程并缩短响应时间。
拥有和使用SOAR的价值
统一现有的安全系统并集中数据收集,以获得全面的可见性,从而极大地改善公司的安全状况和运营效率和生产率。
自动化重复的手动任务并管理安全事件的所有方面,从而提高分析师的生产力,并使分析师能够专注于改善安全而不是执行手动任务。
定义事件分析和响应程序,并利用安全播放手册来优先、标准化和扩展一致、透明和有文档记录的响应流程。
通过使分析师能够迅速准确地识别和分配安全警报的严重性水平,实现更快的事件响应,减少警报并减轻警报疲劳。
简化流程和运营,更好地识别和管理潜在的漏洞,无论是主动还是被动。
通过将每个安全事件路由到最适合响应的分析师,并提供支持团队和团队成员之间的轻松沟通和跟踪的功能,支持实时协作和非结构化调查。
SOAR用例
使用案例 | 编排有什么帮助(高级概述) |
处理安全警报 | 网络钓鱼的丰富和响应 - 吸收潜在的网络钓鱼电子邮件;触发播放手册;自动执行可重复任务,如分类和参与受影响用户;提取和检查指标;识别虚警;为SOC提供规模化的标准化响应。
端点恶意软件感染 - 从端点工具中提取威胁源数据,丰富该数据,将检索的文件/哈希与安全信息和事件管理(SIEM)解决方案进行交叉引用,通知分析师,清理端点,并更新端点工具数据库。
用户登录失败 - 在预定义的失败用户登录尝试次数后,通过触发播放手册评估失败的登录是否真实或恶意,参与用户,分析其回复,使密码过期并关闭播放手册。
来自不寻常位置的登录 - 通过检查VPN和云访问安全代理(CASB)存在,交叉引用IP,与用户确认违规,发布封锁并关闭播放手册。 |
管理安全运营 | 安全套接字层(SSL)证书管理 - 检查端点,查看哪些SSL证书已过期或即将过期,通知用户,几天后重新检查状态,将问题升级给适当的人员并关闭播放手册。
端点诊断和启动 - 检查连接性和代理连接性,丰富上下文,打开一个工单,启动代理,并关闭播放手册。
漏洞管理 - 吸收漏洞和资产信息,丰富端点和公共漏洞和曝光(CVE)数据,查询漏洞上下文,计算严重性,将控制权移交给安全分析师进行补救和调查,并关闭播放手册。 |
寻找威胁并响应事件 | 威胁追踪指标(IOC) - 吸收并从附加文件中提取IOC,通过威胁情报工具搜索IOC,更新数据库并关闭播放手册。
恶意软件分析 - 吸收来自多个来源的数据,提取和引爆恶意文件,生成并显示报告,检查恶意性,更新数据库并关闭播放手册。
云感知事件响应 - 消耗来自面向云的威胁检测和事件记录工具的数据,在云和本地安全基础设施之间统一流程,与SIEM进行关联,提取和丰富指标,检查恶意性,将控制权交给分析师并让他们审查信息,更新数据库并关闭播放手册。 |
自动化数据丰富 | IOC丰富 - 从多个来源吸收数据,提取需要引爆的任何指标,丰富URL、IPS和哈希;检查恶意性,更新数据库,邀请分析师审查和调查信息,并关闭播放手册。
分配事件严重性 - 检查其他产品的漏洞分数和现有指标是否已被分配分数,分配严重性,检查用户名和端点是否在关键列表上,分配关键严重性,并关闭事件。 |
如何选择SOAR平台?最佳实践指南
易用性和与其他工具的连接性:安全编排工具应该充当检测、丰富、响应和相关工具之间的连接纤维。
平台内可以执行多少个命令或操作?集成是否能够解决以下重点关注领域?这包括:
分类和映射
检测和监控
数据丰富和威胁情报源
执行和响应
自定义集成能力:平台是否具有构建自定义集成的机制(例如,内部SDK)?平台的导入期是否包括来自服务团队的自定义集成支持?这些服务是额外添加的还是包含在产品购买价格中?
开箱即用(OOTB)/预构建集成:平台有多少集成(在每个类别中的广度和深度)?新的集成是否随着时间的推移添加到平台上?以什么频率?这些更新是免费的还是附加服务?
事件和案例管理:平台是否具有本机案例管理或与相关案例管理工具集成?平台是否能够重建事件时间线?平台是否支持事后事件文档和审查?平台是否创建审计跟踪,以突出数据流并保持责任?
与威胁情报的集成:威胁情报是关于现有或新兴威胁或危害资产的基于证据的知识,包括上下文、机制、指标、影响和面向行动的建议。具有威胁情报集成的SOAR平台可以利用收集到的知识,帮助SOC团队就外部威胁对其环境的影响做出明智的决策。通过将外部威胁情报映射到网络中发生的事件,自动化工作流使相关威胁情报以可扩展和实时的方式分发到执行点。
工作流和剧本功能:平台是否具有工作流功能(基于可视化任务的流程)?该平台是否显示每个事件的实时操作手册?该平台是否支持剧本嵌套?该平台是否支持创建自定义剧本任务(自动和手动)?该平台是否支持跨剧本传输自定义任务?
部署灵活性:组织用于进行业务和保护数据的技术不断处于演变和流动的状态。在选择安全编排工具时,部署选项的灵活性和这些选项与组织内其他工具和要求的一致性至关重要。
定价:在选择安全编排工具之前,考虑哪种定价方法与您的总体预算流程相匹配。市场上今天普遍存在的定价方法有:
按操作或自动化定价
按节点或端点定价
年度订阅,额外的管理员用户需额外付费
额外服务和功能:除了核心SOAR能力之外,公司提供了哪些其他有差异的资源,可以使您的组织受益?
专业服务:公司是否向客户提供专业服务,确保从开始到结束都能成功部署?
售后支持:安装后公司提供何种支持?公司是否提供您和您的组织需要的支持类型?
