什么是 SOAR(安全编排、自动化和响应)?
SOAR 定义
SOAR,即安全编排、自动化和响应,使安全团队能够标准化和简化其组织对网络攻击和事件的响应。 SOAR 优化了安全运营中心 (SOC) 内外的流程,使分析师能够专注于保护其组织的生态系统。
什么是安全编排?
安全编排是一种将原本分散的安全工具互连的方式,从而可以集中和传播操作。 这有助于安全团队简化其流程并加快事件响应过程。
什么是安全自动化?
安全自动化是实施预定规则的过程,这些规则会在达到特定操作或要求时做出响应。 这最大限度地减少了该过程中所需的人工交互,从而使安全分析师能够处理需要更多创造性问题解决的问题。
为什么安全编排、自动化和响应如此重要?
SOAR 标准化了 SOC 流程,确保一致的调查和响应,同时提高各个经验级别的安全分析师的技能。 通过自动执行与事件响应相关的许多手动、繁琐任务(记录安全事件、提醒相关方、提交和更新报告票证)的工作流程,SOAR 大大缩短了平均修复时间 (MTTR)。
SOAR 工具的历史
随着 2010 年代中期安全事件调查和响应的专用安全工作流程解决方案的出现,Gartner 开始使用术语“安全编排、自动化和响应 (SOAR)”。在此期间,许多 SOAR 初创公司被安全集团收购,并添加到已建立的安全信息和事件管理 (SIEM)、UEBA或网络检测和响应技术中。随后,新一代 SOAR 供应商扩展了其技术,以处理更广泛的安全事件。在此期间,自动化剧本的复杂性不断提高,SOAR 平台变得更加用户友好。
SOAR 如何工作?
SOAR 解决方案详细说明了已建立的调查和响应协议,指导分析师并为自动化奠定基础。 整个生态系统中的双向集成使例行调查和响应过程能够自主触发(即,提取过程)或由分析师触发(即,隔离主机)。 在整个安全运营工作流程中,SOAR 通过与威胁情报源和其他数据源的集成,呈现相关上下文。
SOAR 的好处是什么?
SOAR 通过减少人为干预来帮助 网络安全团队 精简其安全运营,从而提高效率,节省 SOC 大量的时间和精力。这使得分析师能够专注于需要人类创造力和直觉的紧迫问题。其他好处包括
降低风险
有效的 SOAR 解决方案将通过加快分析师的调查和响应时间来阻止攻击,避免损害扩大。
加快平均响应时间 (MTTR)
通过 SOAR 协调人员、流程和技术意味着响应操作可以立即自动化,从而消除人为缓冲时间。
防止倦怠
分析师已经有足够的工作量了。自动化那些让他们无法进行创造性问题解决的繁琐任务,而这正是他们最擅长的。
优化工作流程
融入威胁情报和见解,如属性频率和主机异常评分,并将调查和指导响应程序编成代码。您的团队无需对流程和后续步骤进行猜测。
丰富的集成
将您首选的工具集成到单个工作流程中 — 您将获得其技术优势,而无需在它们之间来回切换。
SOAR 与 SIEM
SOAR 技术通过在单个平台上协调和自动化关键流程,帮助 SOC 充分利用其人员和技术的综合力量。它通常与 SIEM 紧密集成,以统一团队流程和数据。SIEM 使分析师能够处理诸如安全监控、威胁检测、威胁搜寻、事件关联等用例。
SOAR(安全编排、自动化和响应)更多地服务于工作流程和修复方面 — 通过自动后续操作和编排必要步骤,对 SIEM 揭示的发现采取行动,从而在威胁造成损害之前将其阻止。实际上,这些解决方案正日益融合。
安全自动化与安全编排
虽然安全自动化和编排都具有类似的结果 — 尽量减少各种流程中所需的人工交互 — 但它们在各自的实施领域中有所不同。
安全自动化主要致力于在安全技术检测到威胁时立即实现对其的预防。另一方面,安全编排致力于实现一个简化的工作流程,以执行正确的操作、通知正确的各方,并以组织认为合适的方式推动流程的进行。
SOAR 技术如何帮助组织
SOAR(安全编排、自动化和响应)是任何成熟的安全功能都必不可少的技术。将 SOAR 解决方案在安全堆栈中的作用视为类似于运动队教练的角色可能会有所帮助 — 它反映了管理层预定的目标和流程,执行不同场景的剧本,并在检测到故障时提醒团队。
接下来您应该做什么
- 开始免费试用,了解 Elastic 如何帮助您的业务。
- 浏览我们的解决方案,了解 Elasticsearch 平台的工作原理,以及我们的解决方案如何满足您的需求。
- 通过我们最新的全球威胁报告,准备好预防当前的网络安全威胁。
- 与您认识的喜欢阅读这篇文章的人分享。通过电子邮件、LinkedIn、Twitter 或 Facebook 与他们分享。