各行各业已经开始意识到自动化的价值以及在自己的安全基础设施中实施自动化的必要性。然而,除了能够快速行动和节省员工时间之外,公司还没有意识到自动化的用处。自动化不仅仅是将简单的人为操作变成机器的自动过程。公司可以通过多种方式从投资自动化工具中获益,例如可以自动化事件响应和事件管理生命周期的许多方面的安全性。编排、自动化和响应(SOAR)解决方案。希望在事件响应和安全调查过程中节省宝贵时间并改善整体网络安全态势的组织应该将以下七个过程自动化。1.SIEM升级安全警报有多种来源,但在大型企业中,大多数事件都源自SIEM。从SIEM到SOAR的过滤过程可以通过自动警报升级的标准得到增强。将精心策划的升级规则与自动情报收集相结合,分析师可以专注于关键事件并获得完整的上下文,而不是每天筛选数百个警报来识别真正的威胁。2.信誉查找通过自动化节省时间的最大机会是收集上下文数据以帮助分析师评估威胁。例如,如果一封电子邮件被标记为潜在的网络钓鱼尝试,SOAR平台可以自动查找电子邮件中??URL的信誉、检查域所有者的地理位置、调查与已知攻击者的联系等等。如果没有自动化,分析师将不得不转到其他应用程序并手动查找此信息,有时一天要查找数百次。3.风险评分承接了赛事升级丰富的过程。SOAR平台还可以增加另一层自动化,帮助分析师快速确定需要关注的事件。通过将威胁情报、链接分析和其他上下文数据与自定义标准进行比较以生成风险评分,自动化可用于将事件分配给具有正确优先级的适当分析师,例如将误报率高的事件移至事件队列尾部。4.阻止用户自动化最有益的应用之一是比人类分析师移动得更快。这对于限制事件的影响非常有用。可以通过自动化加速的安全操作示例包括禁用与事件关联的用户权限。如果用户帐户被标记为可疑行为,例如在非正常时间登录或试图访问敏感系统,立即禁用该帐户是防止数据泄露的最佳机会。5.指导调查这些是自动化的常见用例,但还有一些鲜为人知的用途,例如使用自动化来指导调查人员完成调查过程。开发内置自动化步骤的剧本很常见,但自动化也可以应用于深入调查,让调查人员保持正轨。这对于具有广泛经验水平的团队很有用,因为内部经验、行业最佳实践和区域合规性要求都可以构建到调查工作流程中。这样做可以确保调查人员采取正确的步骤,即使他们不熟悉不同司法管辖区或不同事件类型的要求。6.报告阈值经理、执行官和其他利益相关者需要了解安全流程,但安全团队的时间和精力不应花在填写和发送例行报告上。通过自动化,可以设置触发报告的阈值,例如何时有太多未决事件或何时有人错过了重要的截止日期。7.通知和任务分配自动化不仅仅是为了加快行动,它还可以用来协调安全团队的人员和流程。类似于设置自动报告阈值,可以使用自动化工具来设置自动通知和任务分配的标准。例如,可以自动通知分析师有待处理的任务或临近截止日期,或者可以自动将需要批准的任务分配给法律团队。结论与任何其他工具一样,应谨慎应用自动化。自动化显然可以为安全团队带来价值,但该价值的大小完全取决于您的自动化方法如何满足您的总体需求、现有安全基础设施和组织程序。这些只是自动化应用的几个例子,随着行业中如此多的创新发生得如此之快,值得花点时间思考一下其他哪些自动化流程可以为您的公司带来价值。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
