什么是 SOAR(安全编排、自动化和响应)?
SOAR 定义
SOAR,即安全编排、自动化和响应,使安全团队能够标准化和简化其组织对网络攻击和事件的响应。 SOAR 优化了安全运营中心 (SOC) 内部和外部的工作流程 - 使分析师能够专注于保护其组织生态系统。
什么是安全编排?
安全编排是一种将原本独立的安全工具互连起来的方式,以便可以集中和传播操作。 这有助于安全团队简化流程并加快事件响应过程。
什么是安全自动化?
安全自动化是实施预定规则的过程,这些规则在达到特定操作或要求时会做出响应。 这最大限度地减少了流程中所需的人工交互,从而使安全分析师能够处理需要更多创造性解决问题的难题。
为什么安全编排、自动化和响应很重要?
SOAR 标准化了 SOC 流程,确保一致的调查和响应,同时增强了所有经验水平的安全分析师的技能。通过自动化与事件响应相关的许多手动、平凡的任务的工作流程 - 记录安全事件、提醒相关方、提交和更新报告单 - SOAR 大大减少了平均修复时间 (MTTR)。
SOAR 工具的历史
随着 2010 年代中期出现专门针对安全事件调查和响应的安全工作流程解决方案,Gartner 开始使用安全编排、自动化和响应 (SOAR) 这个术语。在此期间,许多 SOAR 初创公司被安全集团收购,并被整合到已有的安全信息和事件管理 (SIEM)、UEBA 或网络检测和响应技术中。随后,新一代 SOAR 供应商扩展了其技术,以处理更广泛的安全事件。在此期间,自动化剧本变得更加复杂,SOAR 平台也变得更加用户友好。
SOAR 如何运作?
SOAR 解决方案详细说明了已建立的调查和响应协议,指导分析师并为自动化奠定基础。整个生态系统中的双向集成使常规调查和响应流程能够自动触发(即,获取流程)或由分析师触发(即,隔离主机)。在整个安全操作工作流程中,SOAR 通过与威胁情报源和其他数据源的集成,提供相关上下文。
SOAR 的好处是什么?
SOAR 推动效率,为 SOC 节省大量时间和精力,帮助网络安全团队通过减少人工干预来简化安全操作。这使分析师能够专注于需要人类创造力和直觉的紧迫问题。其他好处包括
降低风险
有效的 SOAR 解决方案将通过加快分析师的调查和响应时间来在损害扩大之前消除攻击。
加快平均响应时间 (MTTR)
通过 SOAR 将人员、流程和技术整合在一起意味着响应操作会立即自动化,消除了人工缓冲时间。
防止倦怠
分析师已经有很多事情要做。自动化掉那些让他们无法进行最擅长的创造性解决问题的平凡任务。
优化工作流程
注入威胁情报和洞察力,例如属性频率和主机异常评分,并编纂调查和指导响应程序。您的团队无需再猜测流程和下一步操作。
丰富的集成
将您首选的工具集成到一个工作流程中 - 您将获得其技术的优势,而无需在它们之间来回切换。
SOAR 与 SIEM
SOAR 技术帮助 SOC 通过在一个平台上协调和自动化关键流程,充分利用其人员和技术的综合力量。它通常与 SIEM 密切集成,以统一团队流程和数据。SIEM 使分析师能够承担安全监控、威胁检测、威胁狩猎、事件关联等用例。
SOAR(安全编排、自动化和响应)更多地服务于工作流程和补救方面——根据 SIEM 揭示的发现采取行动,并通过自动化的后续行动和必要的步骤的编排来阻止威胁,防止其造成损害。在实践中,这些解决方案正在越来越紧密地融合。
安全自动化与安全编排
虽然安全自动化和编排都具有类似的结果——最大限度地减少各种流程中所需的人工交互——但它们在各自的实施领域有所不同。
安全自动化主要针对在安全技术检测到威胁的瞬间实现立即阻止威胁。另一方面,安全编排旨在实现一个简化的工作流程,以执行正确的操作,通知相关人员,以及以组织认为合适的方式推进流程。
SOAR 技术如何帮助组织
SOAR(安全编排、自动化和响应)是任何成熟安全功能必不可少的技术。可以将 SOAR 解决方案在安全堆栈中的作用比作体育队中教练的作用——它反映了管理层的既定目标和流程,执行不同场景的剧本,并在检测到故障时提醒团队。
您接下来应该做什么
- 开始免费试用,看看 Elastic 如何帮助您的业务。
- 浏览我们的解决方案,了解 Elasticsearch 平台的工作原理以及我们的解决方案如何满足您的需求。
- 准备好使用我们最新的全球威胁报告来防止当前的网络安全威胁。
- 与您认识的可能喜欢阅读这篇文章的人分享。通过电子邮件、LinkedIn、Twitter 或 Facebook 与他们分享。