【转】SOAR平台初探(一)
1.前言
? ? ? ?Security Orchestration, Automation and Response(SOAR)安全編排和自動化響應,是Gartner2017年提出的新概念。Gartner預計到2019年,大概30%的大中型企業會進行SOAR平臺的建設。
?
2.??概述
? ? ? ?目前來說,一般大中型企業都已經建立了相對比較完備的安全運營中心SOC,為什么又要提出SOAR的概念呢。主要是因為在SOC的運營過程中,面臨以下的一些問題:
- 大量的安全事件,都需要安全分析師的介入,運營成本高,企業需要用更少的錢,來做更多的事。
- 安全分析師的分析時間,經常被浪費在一些低級別或無關緊要的事件分析上。
- 傳統的安全響應執行過程,響應時間長,人工介入多,相關處理過程難以定量評估。
- 人員流動,帶來運營過程的變化和運營質量的變化,比如老人離職,新人進來需要培訓,需要時間和經驗的積累。
? ? ? ?SOAR平臺主要就是解決這些問題,其核心概念主要包括:
- Orchestration,編排
? ? ? ? 與過去相比,現在的安全運營中心需要整合大量的系統,運維的復雜度也大大增加,事件的響應與處理需要應對各種各樣的復雜的情況。要滿足這些需求,必然需要的提供豐富的事件響應與處理編排能力,可以進行流程定制,流程執行,流程監控,結果的驗證與評估,流程再造。
- Automation,自動化
? ? ? ?當前安全分析師在解決安全問題時所需要的數據,分析的方法與過去相比,其工作量和內容都大大增加。數據是海量的數據,大量的數據需要使用自動化方式去處理。既可以節省時間,人力,成本,也避免人在處理大量數據的過程中帶來的誤差或失誤。
- ?合理的KPI評估體系
? ? ? ?系統提供編排與自動化執行能力,也需要對流程和自動化執行的結果進行有效的評估,需要提供合理的評估方法,可量化的評估指標,根據評估結果,才可以進行流程再造,優化我們的編排內容,帶來整個安全運營中心的效率提升。
?
3.SOAR平臺基本功能需求
? ? ? ?針對SOC運營的一些問題,我們可以看出SOAR平臺需要具備的一些基本功能:
? ? ? ?1.系統能夠對接主流的安全管理平臺的管理數據,可以對安全事件進行二次分析和聚合。
? ? ? ?2.具備流程化自動執行功能,能夠依據場景或案例,制定執行計劃和執行腳本,并具備自動、半自動和手動執行的能力。
? ? ? ?3.對執行效果可以提供合適的KPI進行評估,反饋,在修改的能力。
? ? ? ?4.執行過程能夠整合既有的知識庫,經驗。
? ? ? ?5.和威脅情報對接能力,多協議支持。
? ? ? ?6.可定制的可視化分析和展現,可以定制Dashboard展現內容。
? ? ? ?7.內容分享,溝通和交互,充分利用微信,郵件等既有溝通平臺,提供反應速度。
?
4.SOAR和SOC的關系。
? ? ? ?有一部分人認為SOAR的功能是包含在SOC中的,比如現在國內的一些安全廠家,也都在SOC中添加事件處理,調查,響應功能。但是專業的事還是需要專業的軟件來執行,SOAR更偏重于安全分析師所做的工作,側重于過程,比如把對于一封釣魚郵件的分析,通過程序自動化的執行。而且一套好的SOAR平臺,是能夠整合不同廠家的相關產品,不管是SIEM,SOC,還是TI相關產品。SOC產品更偏重于事件的采集,分析與告警,響應在SOC中更多的是手動的的操作。
總結
以上是生活随笔為你收集整理的【转】SOAR平台初探(一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C#接口归纳总结实例详解
- 下一篇: Microsoft Visual Stu