什么是 SOAR(安全编排、自动化和响应)?

SOAR 的定义

借助 SOAR(安全编排、自动化和响应),可让安全团队标准化并精简所在组织对网络攻击和事件的响应流程。SOAR 优化了安全运营中心 (SOC) 的内外工作流程,非常有助于分析师集中精力保护组织生态系统的安全。

什么是安全编排?

安全编排是一种将各种完全不同的安全工具相互关联起来的方式,以便对操作进行集中管理和传播。这不仅有助于安全团队精简流程,而且还可以加快事件响应流程的执行速度。

什么是安全自动化?

安全自动化是实施预先确定的规则的过程,这些规则在达到某个操作或要求时就会作出响应。这可以最大限度地减少流程执行中所需的人机交互,从而让安全分析师集中精力处理需要更多创造性才能解决的问题。

为什么安全编排、自动化和响应如此重要?

SOAR 标准化了 SOC 流程,不仅可确保一致的调查和响应,同时还能提高各种经验水平的安全分析师的技能。通过自动化与事件响应相关联的许多手动、单调任务的工作流(记录安全事件、向相关各方发送告警、提交和更新报告工单),SOAR 显著缩短了平均补救时间 (MTTR)。

SOAR 工具的发展历程

随着 2010 年代中期出现针对安全事件调查和响应的专用安全工作流解决方案,Gartner 就开始使用“安全编排、自动化和响应 (SOAR)”这一术语了。在这一时期,许多 SOAR 初创企业被并入了安全企业集团的麾下,并与成熟的信息安全和事件管理 (SIEM)、UEBA 或网络检测和响应技术进行了集成。随后,新一代的 SOAR 供应商扩展了他们的技术,以便处理更广泛的安全事件。在此期间,自动化策略变得越来越完善,SOAR 平台也变得更加易于用户使用。

SOAR 如何运作?

SOAR 解决方案详细说明了已建立的调查和响应协议,从而为分析师提供指导并为自动化奠定基础。通过在整个生态系统中的双向集成,使得常规调查和响应流程能够自动触发(即提取过程),也可以由分析师触发(即隔离主机)。在整个安全运营工作流中,SOAR 可通过与威胁情报源和其他数据源的集成来呈现相关背景信息。

SOAR 的优势有哪些?

SOAR 可提高效率,为 SOC 节省大量的时间和人力,通过减少人为干预,帮助网络安全团队精简安全运营流程。这让分析师有更多精力来集中处理需要人类创造力和直觉力才能解决的紧迫问题。其他优势还包括:

降低风险

一个有效的 SOAR 解决方案会通过加快分析师的调查和响应速度,在损害扩大之前及早阻止攻击。

缩短平均响应时间 (MTTR)

通过 SOAR 来协调人员、流程和技术,这将意味着响应操作可以即刻实现自动化,从而消除人为的缓冲时间。

防止职业倦怠

分析师需要解决的问题已经堆积如山了。自动化单调的任务,让他们集中精力处理那些需要创造性才能解决的问题。

优化工作流

注入威胁情报和见解(如属性频率和主机异常评分),并编纂了调查和引导式响应程序。您的团队不必再猜测流程和后续步骤。

丰富的集成

将您常用的工具都集成到了一个工作流中,让您既能畅享技术带来的优势,又无需在各种技术之间进行艰难抉择。

SOAR 与 SIEM

SOAR 技术通过在单一平台上协调和自动化关键流程,可帮助 SOC 将人员和技术的综合能力充分发挥出来。它通常与 SIEM 紧密集成,以将团队流程和数据进行一体化管理。SIEM 使分析师能够处理安全监测、威胁检测、威胁猎捕、事件关联等用例。

SOAR 更多的是在工作流和补救方面发挥作用 — 根据 SIEM 提供的调查结果采取行动,并自动执行后续操作和编排必要步骤,在威胁造成损害之前及时予以消除。在实践中,这两种解决方案的融合越来越紧密。

自动化与编排

虽然安全自动化和编排的执行结果很类似 — 最大限度地减少各种流程中所需的人机交互,但它们在各自的实现领域还是有所不同的。

安全自动化主要是为了在安全技术检测到威胁时立即实现威胁防御。另一方面,安全编排是为了实现精简的工作流,用于执行正确的操作,从而通知相应各方,并在组织认为适当的情况下推进流程。

SOAR 用例

事件响应

如果发生了安全事件,则需要采取协调一致的应对措施,以减轻漏洞带来的影响。

案例管理

一旦确定了威胁,系统就会触发一个案例。案例的数量可能会迅速开始增加,一个运行良好的 SOAR 解决方案将可帮助团队以高效的方式确定优先级并做出响应。

漏洞管理

了解组织在整体安全风险暴露方面所处的位置至关重要。SOAR 解决方案可以帮助提供更客观的风险评估见解,这是每个 CISO(首席信息安全官)完成工作所不可或缺的信息。

威胁猎捕

积极主动地追捕自己 IT 环境中的威胁。成熟的威胁猎捕实践需要有快速的引擎来查询大量的数据。

SOAR 技术如何帮助组织

对于任何成熟的安全功能来说,SOAR 都是一项关键技术。在安全堆栈中,将 SOAR 解决方案的作用看作运动队的教练可能更有助于理解,它反映的是管理层的预定目标和流程,执行不同场景的策略,并在检测到故障时向团队发送告警。

体验 Elastic Security for SOAR

使用 Elastic SOAR 轻松自动化团队的安全事件响应,可随时下载或托管在 Elastic Cloud 中。

探索 SOAR 解决方案