考虑购买安全编排、自动化和响应(SOAR)解决方案的公司通常担心他们现有的事件响应程序还不够成熟,无法实施具有自动化和编排功能的综合平台。如果您几乎没有任何基础,那么从头开始可能会让人望而生畏,尤其是当您的团队中没有人有事件响应或安全编排解决方案方面的经验时。虽然没有人愿意只在一个低效的流程上增加自动化,但如果旧方法本身不够好,进一步巩固这种处理安全事件的旧方法是不科学的。如果您想改善公司的安全运营但不知道从哪里开始,这里有几个步骤可能会帮助您准备好迁移到SOAR平台。1.盘点当前运营每个公司都有理由认为他们没有事件响应程序。无论有没有SOAR或事件响应平台,每家公司都有一些管理安全事件的方法,即使它可能涉及大量即兴和临时流程。在准备实施SOAR平台时,花时间与公司利益相关者交谈,以了解当前流程以及这些流程的有效性(或无效性)。这应该包括梳理工具列表:现有的IT和信息安全基础设施是什么?是否有任何工具可用于丰富数据?一旦弄清楚手头有哪些工具可用,您就可以将它们全部映射到事件响应生命周期中,例如NIST800-61r2标准中描述的生命周期,并确定公司目前缺少什么。接下来,看看公司遵循的事件响应流程或剧本。了解安全运营中心(SOC)如何协作?它如何与IT和数据隐私组织等其他团队协作?公司如何在事件响应过程中保持法律和法规的合规性?公司团队如何管理当前常见的安全事件,如网络钓鱼或恶意软件?如果有可用的指标,请仔细审查它们以确定哪些运作良好以及哪些需要改进。例如:检测和响应安全警报需要多长时间?哪些活动占用了安全分析师过多的时间?如果没有可用的正式指标,请让安全分析师和经理给出他们自己的评估。2.找出最适合您公司的功能以及提供这些功能的平台。市场上有各种SOAR平台。为了缩小您的选择范围,您不妨花一些时间来确认对您来说最重要的功能。您首先要自动化的流程是什么?哪些问题对您的安全团队来说最困难?是否存在反复出现的安全事件、数据孤岛或流程瓶颈?您的分析师可以帮助您回答这些问题。每个平台都有自己关注的安全操作方面。这些功能可大致分为以下几类:警报管理:帮助SOC分类、评估和关闭来自SIEM和其他源系统的持续安全警报流。分类:通过从威胁情报和历史事件记录等外部和内部来源收集上下文信息,帮助分析师做出决策。事件响应:包括剧本、任务管理、链接分析等,以支持高效且可重复的响应工作流程。报告和分析:包括自动或安排报告、生成详细的SOC指标以及使用系统为不同用户角色自定义仪表板的能力。合规性和跟踪:例如审计追踪、监管链和通用合规性报告模板。案例管理:包括支持调查人员和其他团队之间的协作、相关事件的案例目录、指导调查工作流程和证据管理。3.尝试起草剧本要具体了解如何使用SOAR平台,请尝试为最重要的用例起草剧本。然后,确定您认为可以通过自动化和编排来增强的步骤。示例在线剧本很容易从供应商或行业机构获得,并且应该为您提供有关所涉及步骤的参考。评估公司现有流程并咨询公司分析师可以产生更多有价值的信息,包括常见或重要的用例。从安全环境中最典型的用例开始,例如网络钓鱼、可疑数据泄露或恶意软件感染。如果您没有任何正式的事件响应程序,实施SOAR解决方案、事件响应平台或任何其他重要的安全工具将很困难。但是,只要按照上述步骤进行,您就会更加了解自己的情况,知道自己要走的路线以及需要达到的效果。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
