什么是 SOAR?
安全编排、自动化和响应 (SOAR) 技术有助于在单一平台内协调、执行和自动化各种人员和工具之间的任务。这使得企业不仅能够快速应对网络安全攻击,而且能够观察、了解和预防未来的事件,从而改善其整体安全态势。
根据 Gartner 的定义,全面的 SOAR 产品旨在在三个主要软件功能下运行:威胁和漏洞管理、安全事故响应和安全运营自动化。
威胁和漏洞管理(编排)涵盖帮助修正网络威胁的技术,而安全运营自动化(自动化)涉及在运营中实现自动化和编排的技术。
SOAR 摄取警报数据,然后这些警报会触发自动化/编排响应工作流程或任务的剧本。然后,利用人工和机器学习的结合,企业能够分析这些不同的数据,以便理解和优先考虑针对任何未来威胁的自动事故响应行动,从而创造出一种更高效、更有效的方法来处理网络安全并改善安全运营。
图 1:用于恶意软件分析的 SOAR 剧本示例
什么是 SIEM?
SIEM 代表安全信息和事件管理。它是一种服务和工具安排,可帮助安全团队或安全运营中心 (SOC) 收集和分析安全数据,以及创建策略和设计通知。SIEM 系统使用以下功能来管理安全信息和事件:数据收集、整合和关联,以及单个事件或事件排列触发 SIEM 规则时的通知。企业还设置符合其特定安全问题的规则、报告、警报和仪表板等策略。
SIEM 工具使 IT 团队能够:
- 使用事件日志管理来整合多个来源的数据
- 实时获得企业范围的可视性
- 使用 if-then 规则关联从日志中收集的安全事件,以有效地向数据添加可操作的情报
- 使用可通过仪表板管理的自动事件通知
SIEM 将安全信息和安全事件的管理结合起来。这是通过实时监控和系统管理员的通知来实现的。
SOAR 对比 SIEM
许多人将 SOAR 和 SIEM 定义为类似的产品,因为两者都检测安全问题并收集有关问题性质的数据。它们还都处理安全人员可以用来解决问题的通知。然而,它们之间存在显著差异。
SOAR 使用类似于 SIEM 的集中式平台收集数据并向安全团队发出警报,而 SIEM 仅向安全分析师发送警报。然而,SOAR 安全保护通过使用自动剧本或工作流程以及人工智能 (AI) 来学习行为模式,从而在调查路径中增加了自动化和响应,使其能够在类似威胁发生之前进行预测。由于 SOAR(例如 Cortex XSOAR)通常会从 SIEM 未涵盖的来源 - 例如漏洞扫描发现、云安全警报和物联网设备警报 - 摄取警报,因此更容易将警报去重,事实上,这是 SOAR 和 SIEM 集成的典型用例。这减少了手动处理警报所需的时间,使 IT 安全人员能够更轻松地检测和解决威胁。
什么是安全编排和自动化?
安全自动化是基于机器执行安全操作,能够检测、调查和补救网络威胁,无需人工干预。它为 SOC 团队完成了许多繁琐的工作,使他们不再需要对收到的每个警报进行筛选和手动处理。安全自动化可以:
- 检测环境中的威胁。
- 分流潜在威胁。
- 确定是否对事故采取行动。
- 遏制并解决问题。
所有这一切都可以在几秒钟内发生,无需人工参与。安全分析师不必按照步骤、指令和决策工作流程来调查事件并确定其是否为合法事故。重复、耗时的操作不再由他们掌控,这样他们就可以专注于更重要、更有价值的工作。
安全编排是通过机器协调一系列相互依存的安全操作,包括事故调查、响应和最终解决,所有这些都在一个复杂的基础设施中。无论是跨产品和工作流程自动执行任务,还是手动提醒代理注意需要更多关注的重要事故,它都能确保所有安全和非安全工具协同工作。
安全编排可以:
- 提供有关安全事故的更好情境。安全编排工具聚合了来自不同来源的数据以提供更深入的洞察。因此,您可以全面观察整个环境。
- 允许进行更深入、更有意义的调查。安全分析师可以停止管理警报并开始调查这些事故发生的原因。此外,安全编排工具通常提供高度交互和直观的仪表板、图表和时间表;这些视觉效果在调查过程中非常有用。
- 改善协作。其他各方,包括不同层级的分析师、经理、CTO 和高管、法律团队和人力资源,也可能需要参与某些类型的安全事故。安全编排可以让所有必要的数据触手可及,从而使协作、问题解决和决议更加有效。
最终,安全编排提高了防御的集成度,使您的安全团队能够自动化复杂的流程,并最大限度地提高从安全人员、流程和工具中获得的价值。
自动化和编排之间有什么区别?
虽然安全自动化和安全编排是经常互换使用的术语,但这两个平台扮演着截然不同的角色:
- 安全自动化减少了检测和响应重复事故和误报所需的时间,这样,警报就不会长期得不到解决:
- 让安全分析师有时间专注于战略任务,如调查研究。
- 每个自动化剧本都通过规定的行动方案来解决已知的场景。
- 安全编排允许您轻松共享信息,使多个工具能够作为一个整体响应事故,即使数据分布在大型网络和多个系统或设备上:
- 安全编排使用多个自动化任务来执行完整、复杂的流程或工作流。
- SOAR 解决方案的优势在于其广泛的预构建集成,可加速并便于安全操作用例的部署。
安全自动化就是为了简化安全操作并使安全操作更高效地运行,因为它处理一系列单一任务,而安全编排则连接所有不同的安全工具,使其相互促进,从头到尾创建一个快速高效的工作流程。二者搭配使用时效果最佳,安全小组采用这两种方法时,可以最大限度地提高效率和生产力。
什么是威胁情报管理 (TIM)?
连同安全编排、自动化和响应,SOAR 平台还可以增加威胁情报管理,即 TIM。威胁情报管理 (TIM) 使企业能够更好地了解全球威胁形势,预测攻击者的下一步行动并立即采取行动阻止攻击。
威胁情报与威胁情报管理之间存在显著差异。威胁情报是有关威胁的数据和信息,而威胁情报管理是有关潜在攻击者及其意图、动机和能力的数据的收集、规范化、丰富和行动。这些信息可以帮助企业更快、更明智地做出安全决策,从而更好地应对网络威胁。
为什么 SOAR 很重要?
在不断发展和日益数字化的世界中,当今的企业在网络安全方面面临着众多挑战。威胁越复杂、越恶意,公司就越需要开发一种高效、有效的方法来应对未来的安全运营。由于这种需求,SOAR 正在彻底颠覆安全运营团队管理、分析和响应警报及威胁的方式。
如今,安全运营团队的任务是每天负责手动处理数以千计的警报,这就为错误和严重的运营效率低下留出了空间,更不用说低效、各自为政和过时的安全工具,以及严重缺乏合格的网络安全人才。
许多安全运营团队都在努力连接来自不同系统的噪音,导致太多容易出错的手动流程,并且缺乏高技能人才来解决所有这些问题。
随着威胁和警报数量的不断增加,以及缺乏解决所有这些问题的资源,分析师不仅被迫决定哪些警报值得认真对待并采取行动,哪些警报可以忽略,而且常常过度劳累,以至于有可能错过真正的威胁,最终在试图应对威胁和不良代理时犯下大量错误。
因此,企业必须拥有 SOAR 平台等系统,使其能够系统地编排和自动执行警报及响应流程。通过过滤掉占用最多时间、精力和资源的日常任务,安全运营团队在处理和调查事故时更加有效和高效,从而能够极大地改善企业的整体安全状况。
SOAR 使您能够:
- 集成安全、IT 运营和威胁情报工具。您可以连接所有不同的安全解决方案 - 甚至是来自不同供应商的工具 - 以实现更全面的数据收集和分析。安全团队可以不再往返于各种不同的控制台和工具。
- 在一处一览无遗。您的安全团队可访问单一控制台,其中提供了调查和补救事故所需的所有信息。安全团队可以到一个地方访问自己需要的信息。
- 加速事故响应。事实证明,SOAR 可缩短 平均检测时间 (MTTD) 和 平均响应时间 (MTTR)。由于许多操作都是自动化的,因此很大一部分事故可以立即自动处理。
- 防止耗时的操作。SOAR 极大地减少了误报、重复任务和手动流程,这些都会占用安全分析师的时间。
- 获得更好的情报。SOAR 解决方案聚合并验证来自威胁情报平台、防火墙、入侵检测系统、SIEM 和其他技术的数据,为您的安全团队提供更深入的洞察和情境。这使得解决问题和改进实践变得更加容易。当问题出现时,分析师能够更好地进行更深入、更广泛的调查。
- 改善报告和沟通。通过将所有安全运营活动聚集在一处并显示在直观的仪表板中,利益相关者可以收到自己需要的所有信息,包括帮助确定如何改进工作流程和减少响应时间的清晰指标。
- 提升决策能力。SOAR 平台通过提供预构建剧本、从头开始创建剧本的拖放功能,以及自动警报优先级划分等功能,力求实现用户友好,即使是经验不足的安全分析师也能轻松上手。此外,SOAR 工具可以收集数据并提供见解,使分析师能够更轻松地评估事故并采取正确的措施进行补救。
拥有和使用 SOAR 的价值
公司和企业之所以认为 SOAR 有价值,是因为它能最大限度地减少各类安全事故的影响,同时最大限度地提高现有安全投资的价值,并从总体上降低法律责任和业务停机的风险。SOAR 帮助公司解决并克服安全挑战,使他们能够:
- 统一现有的安全系统并集中数据收集,获得全面的可视性,从而大大改善公司的安全状况以及运营效率和生产力。
- 自动执行重复的手动任务并管理安全事故生命周期的各个方面,从而提高分析师的工作效率,使分析师有精力专注于提高安全性,而不是执行手动任务。
- 定义事故分析和响应程序以及利用安全剧本以一致、透明和记录在案的方式确定响应流程的优先级、标准化和规模化。
- 促进更快的事故响应,因为分析师能够快速准确地识别事件严重性级别并将其分配给安全警报,从而减少警报并缓解警报疲劳。
- 简化流程和操作,更好地以主动和被动方式识别和管理潜在的漏洞。
- 支持实时协作和非结构化调查,将每个安全事故传送给最适合应对的分析师,同时提供支持团队和团队成员之间轻松沟通和跟踪的功能。
利用投资回报率计算器了解 XSOAR 的优势并获得一份定制报告,根据规模和使用情况清楚地显示 XSOAR 能为企业带来的商业价值。
SOAR 用例
下表提供了 SOAR 常见用例的示例。
用例 |
编排有什么帮助(高级概述) |
处理安全警报 |
网络钓鱼丰富和响应 - 摄取潜在的网络钓鱼电子邮件;触发剧本;自动化执行可重复的任务,例如分流和吸引受影响的用户;提取并检查指标;识别误报;并引导 SOC 大规模做出标准化的响应。 端点恶意软件感染 - 从端点工具提取威胁源数据,丰富数据,使用安全信息和事件管理 (SIEM) 解决方案交叉比对检索到的文件/哈希值,通知分析师,清理端点并更新端点工具数据库。 失败的用户登录 - 在预定次数的用户登录尝试失败后,通过触发剧本来评估失败的登录是真实的还是恶意的,吸引用户,分析用户的回复,使密码失效和关闭剧本。 从异常位置登录 - 通过检查 VPN 和云访问安全代理 (CASB) 的存在识别潜在的恶意虚拟专用网络 (VPN) 访问尝试,交叉比对 IP,与用户确认泄露,发布拦截并关闭剧本。 |
管理安全运营 |
安全套接字层 (SSL) 证书管理 - 检查端点以查看哪些 SSL 证书已过期或即将过期,通知用户,几天后重新检查状态,将问题上报给适当的人员并关闭剧本。 端点诊断和快速启动 - 检查连接和代理连接,丰富情境,开立工单,快速启动代理以及关闭剧本。 漏洞管理 - 获取漏洞和资产信息,丰富端点和常见漏洞和暴露 (CVE) 数据,查询漏洞情境,计算严重性,将控制权移交给安全分析师进行补救和调查,以及关闭剧本。 |
搜寻威胁并响应事故 |
失陷指标 (IOC) 搜寻 - 从附加的文件中获取并提取 IOC,跨威胁情报工具搜寻 IOC,更新数据库并关闭剧本。 恶意软件分析 - 从多个来源获取数据,提取和引爆恶意文件,生成和显示报告,检查是否有恶意,更新数据库以及关闭剧本。 云感知事故响应 - 从以云为中心的威胁检测和事件日志工具中获取数据,统一跨云和本地安全基础设施的流程,与 SIEM 关联,提取和丰富指标,检查是否恶意,将控制权移交给分析师让他们审核信息,更新数据库以及关闭剧本。 |
自动丰富数据 |
IOC 丰富 - 从多个来源摄取数据,提取任何需要引爆的指标,丰富 URL、IPS 和哈希值;检查是否存在恶意,更新数据库,邀请分析师审查和调查信息,然后关闭剧本。 分配事故严重性 - 检查其他产品的漏洞分数并查看现有指标是否已分配分数,分配严重性,检查用户名和端点以查看它们是否在关键列表中,分配关键严重性,关闭事故。 |
阅读更多热门安全编排用例。
在 SOAR 平台中寻求什么?最佳实践指南
现在您已经能够定义 SOAR 并了解它的不同功能,那么如何知道哪种 SOAR 产品适合自己企业的需求?您应该在 SOAR 平台中寻求什么?
在比较不同的 SOAR 提供商时,在做出决定之前需要考虑一些不同的因素。除了核心技术之外,买方的决策过程很大程度上受到作为一个整体提供的各种因素和服务的影响。企业在实施任何 SOAR 产品之前应考虑的一些因素包括:对其自身成熟度的评估、所需的技术集成和工具堆栈、现有流程以及自主选择的部署方法。
企业对其安全现状进行内部审核后,必须考虑与 SOAR 产品本身相关的因素。考量如下:
- 易于使用并与其他工具连接:安全编排工具应充当检测、丰富、响应和类似工具之间的连接纤维。
各企业应努力实现这样一种最终状态:SOAR 工具从其当前部署的检测工具中接收警报,并执行自动化的剧本,以协调丰富、响应和类似工具之间的操作。
平台内可以执行多少命令或操作?这些集成是否能够解决以下重点领域?其中包括:
- 分类和映射
- 检测与监控
- 数据丰富和威胁情报源
- 强制执行和响应
- 自定义集成功能:平台是否有构建自定义集成的机制(例如内部 SDK)?平台上线期是否包括来自服务团队的定制集成支持?这些服务是附加服务还是包含在产品购买价格中?
- 开箱即用 (OOTB)/预构建集成:平台有多少个集成(类别的广度和每个类别的深度)?随着时间的推移,新的集成是否会添加到平台中?以什么频率?这些更新是免费的还是附加服务?
- 事故和案件管理:平台是否有原生案例管理或与相关案例管理工具集成?平台是否能够重现事故时间线?平台是否支持事故后记录和审查?平台是否创建审计跟踪来突出数据流并主张问责制?
- 与威胁情报集成:威胁情报是以证据为基础的知识,包括情境、机制、指标、影响和以行动为导向的建议,涉及对资产的现有或新出现的威胁或危害。集成了威胁情报的 SOAR 平台可以利用收集到的知识,帮助 SOC 团队就外部威胁对其环境的影响做出明智的决策。由于能够将外部威胁情报与网络中发生的事故进行映射,从而有可能发现以前未被检测到的恶意活动,加快了事故调查的速度。自动化工作流程可将相关威胁情报以可扩展的方式实时分发到执行点。
- 工作流程和剧本功能:平台是否有工作流程功能(基于可视化任务的流程)?平台是否显示每个事故的实时剧本运行?平台是否支持剧本嵌套?平台是否支持创建自定义剧本任务(既有自动也有手动)?平台是否支持跨剧本传输自定义任务?
- 部署灵活性:企业用于开展业务和保护数据的技术不断处于发展和变化的状态。鉴于所有这些灵活的组成部分,在选择安全编排工具时,敏捷性和可扩展性至关重要,这在很大程度上取决于可用部署选项的灵活性,以及这些选项如何与企业内的其他工具和要求保持一致。
平台有哪些灵活的部署选项?平台是否专为多租户而设计,是否具备支持网络分段所需的安全保护以实现跨组织网络通信?平台是否有跨多个租户的横向可扩展性以及一定程度的高可用性保证?
- 定价:在选择安全编排工具之前,考虑哪种定价方法最适合自己的整体预算流程。目前市场上流行的定价方式如下:
- 按操作或自动化定价
- 按节点或端点定价
- 按年订阅,额外管理员用户享受附加价格
- 附加服务和特色:除了 SOAR 核心能力之外,公司还提供哪些有利于您企业的差异化资源?
- 专业服务:公司是否为其客户提供专业服务,确保从始至终的成功部署?
- 售后支持:安装后公司提供什么样的支持?公司是否提供您和企业所需的支持类型?
要为任何安全运营找到最佳的 SOAR 解决方案,就必须将供应商的产品与 SOC 企业提高效率和效力的需求结合起来。正确的 SOAR 解决方案不仅应该补充和兼容已经到位的产品、剧本和流程,还应该优化协作,提供部署和托管功能的灵活性,并拥有符合企业需求的定价模型。
了解 Cortex XSOAR 如何与 Gartner 的 SOAR 要求相匹配