SOAR(SecurityOrchestration,Automation,andResponse)被视为下一代SOC的标志性解决方案,也是提高安全运营效率的关键机制。众所周知,下一代SOC的重点是提高检测和响应能力。但如今的现状是SOC运营团队不堪重负,误报率居高不下,MTTR(平均响应时间)性能提升缓慢。因此,安全行业和企业安全团队对SOAR解决方案寄予厚望,期望通过SOAR的部署,大幅提升SOC检测和应对威胁的效率。然而,甲方需要意识到,如果实施不当,SOAR解决方案也会带来新的挑战。如果没有适当的计划,采用安全自动化工具的企业可能会犯下常见错误,这些错误会迅速导致效率降低和安全状况不佳。总之,企业在选择合适的SOAR解决方案时需要考虑多方面的因素。以下是几位国外安全专家对SOAR选型给出的见解和建议:PaloAltoNetworks产品战略副总裁RishiBhargava,实施SOAR解决方案不是“我没有”到“OK,现在我有了”。组织需要评估他们的安全工具堆栈和现有流程,然后相应地选择他们的部署方法。生态系统至关重要:SOAR解决方案需要能够集成,涵盖您当前使用的供应商工具。应该有内部开发或自定义集成的选项。值得投资的SOAR解决方案应该能够随着企业的发展而成熟。很好地集成了检测、浓缩(enrichment)、执行等流程和相关工具。强大的工单和案例管理功能:事件响应很少以自动化开始和结束。分析师始终参与事件调查。询问供应商:您的SOAR平台是否原生提供本地案例管理,或者它是否与相关工具集成?你能重构事件时间表吗?您是否可以在不进行大量编码的情况下轻松自定义场景?集成威胁情报管理:手动威胁情报工作流非常耗时且无法扩展,因此集成威胁情报管理自动化将显着缩短您的平均响应时间。灵活部署:SOAR平台应该支持本地和云托管部署。对于分布式环境,寻找可扩展和支持完全多租户环境的选项。无论您在选择或实施SOAR的哪个阶段,上述注意事项都将确保您的组织走在最佳道路上。MicroFocusSecOps产品经理GamzeBing?lSOAR解决方案的根本目的是帮助安全人员通过自动化和编排技术提高检测和响应网络威胁的能力。网络安全自动化:SOAR的自动化功能应该通过消除误报和自动化重复活动来自动解决大多数威胁。使用SOAR自动执行耗时且重复的任务,让分析师能够专注于需要人工干预的案例。开箱即用的场景:场景驱动的、随时可用的自动场景应该是SOAR的开箱即用功能。即用型场景可以帮助团队将响应时间从几小时缩短到几分钟,并提高分析师的工作效率。与现有工具集成:独立的安全工具不如一套相互补充的集成工具有用。SOAR的一个重要方面是需要与企业中现有的安全解决方案、IT基础设施和技术集成,并通过增强协作和编排所有元素来充当整体安全环境,就好像它们都是同一解决方案集中中心的一部分一样。KPIsandMetrics:SOAR对案例和分析师的详细报告可以帮助管理者了解历史事件并更好地规划未来的方向。ExabeamSOAR解决方案EMEA安全战略高级总监RichardCassidy应该使团队能够跨大量不同的数据流自动执行识别和响应过程,使威胁和漏洞的优先级排序在安全操作中几乎是无缝的和无缝的。更有效率。如果实施得当,安全运营中心(SOC)可以从使用SOAR解决方案中获益,帮助他们更快、更有效地响应威胁。将SOAR与安全信息和事件管理(SIEM)等其他安全工具相集成,可以通过自动化转变SOC团队的业务和技术成果,同时提高效率。企业可以使用SOAR来增强SIEM的能力,以提供全面的解决方案。SIEM以一种有用的方式收集和存储数据,SOAR可以使用这种方式自动调查和响应事件并减少手动干预的需要。而且,对于SOC团队迄今为止面临的最大挑战——误报——SOAR解决方案可以帮助收集信息、确定优先级并合并重复警报,以减少误报的数量。CodyCornellUniversity首席战略官,Swinlane在考虑SOAR解决方案时,企业需要从两个角度思考:安全运维自动化需要解决的问题和需求是什么?未来将如何使用自动化?首先,你使用的工具或对手是静态的还是动态的?当然,绝大多数情况下答案是后者。因此,您应该选择一个可以快速集成和快速扩展的解决方案——不仅足以满足今天的需求,也能满足明天的需求。其次,当您查看攻击者技术的变化时,您认为攻击者是否也会接受自动化?事实上,攻击者不仅使用自动化来运行扫描,而且还使用DevOps方法为每个攻击目标构建独特的基础设施。如果这种情况持续下去,您将需要一个自动化平台,该平台可以在无需人工干预的情况下跟踪和调查入侵指标(IOC)以及案例和警报中的其他情报。Splunk安全布道者MatthiasMaier在选择SOAR平台以及使用哪些标准时需要考虑几个不同的标准:(1)核心能力这些可以被认为是用户可以轻松识别的SOAR平台的基本组件和功能。其中一些重要组件(例如编排器)负责指导和监督与给定安全解决方案相关的所有活动。编排器需要优化利用可用资源,这一点至关重要。另一个是自动化引擎。由于自动化任务独立运行且基本上无需人工干预,因此平台可伸缩性和可扩展性等属性是需要考虑的重要标准。还应考虑案例和场景管理。(2)平台属性这是一个定性的标准。通过观察和与平台互动,可以更频繁地评估这些标准。SOAR平台必须支持强大的社区模型并轻松共享应用程序集成和剧本。了解SOAR平台如何垂直和水平扩展也很重要。随着用例的增加,平台将承受额外的处理负载。开放、移动友好且易于使用的平台也是一个关键考虑因素。(3)商业考虑包括增值服务,例如公司为增强其核心技术而提供的培训和支持。无论一家公司的核心技术有多好,传统上被认为对买方决策过程有重大影响的产品之外的其他因素也需要引起注意。SIRP首席执行官FaizAhmadShuja的一项研究发现,安全专家平均每天收到840条安全警报。由于大多数警报大约需要15-30分钟才能完成手动调查,这对任何安全团队来说都是几乎不可能完成的任务。尽可能多地自动化工作负载将使安全团队能够跟上并确保不会忽视重要威胁,而SOAR平台是最有效的解决方案之一。成功集成SOAR的最重要步骤是为所有安全流程提供可靠的文档。对于所有主要流程,都需要一个完善的响应手册。例如,如果检测到潜在的网络钓鱼电子邮件,响应可能包括调查发件人的地址和检测欺骗迹象,探测所有URL的信誉评分和恶意脚本。一旦记录了所有这些过程,SOAR平台就可以开始自动化它们。此外,组织需要确保他们选择的SOAR平台具有强大的集成能力。该平台需要与他们现有的SIEM解决方案顺畅协作,并连接其他安全解决方案和更广泛的IT基础设施。SiemplifyCEOAmosStern安全编排、自动化和响应解决了安全团队多年来面临的一些最令人沮丧的挑战。正确的SOAR平台与良好的实施相结合,可以帮助减少警报过载,将组织使用的许多不同检测工具结合在一起,并构建自动化和可重复的流程以减少响应时间,同时实现安全分析人类从单调乏味且通常乏味的工作中解放出来体力劳动。让他们专注于高价值的工作,例如寻找威胁和构建更具弹性的安全基础设施。SOAR解决方案的核心应该是捕获警报、(通过本机API)与各种第三方检测工具集成以及自动化工作流程。然而,最好的SOAR可以充当集中式工作台。像Salesforce一样思考,这也适用于SOC分析师。您应该寻找的SOAR解决方案应该具有以下高级功能:案例管理(尤其是对上下文相关警报进行分组的能力);综合威胁情报;协作(在新的远程工作环境中尤为重要);仪表板和KPI(以提供可见性和洞察力);在发生重大事件时进行跨组织响应的危机管理(升级)。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
