SOAR平臺初探（一）

1.前言

       Security Orchestration, Automation and Response（SOAR）安全編排和自動化響應,是Gartner2017年提出的新概念。Gartner預計到2019年，大概30%的大中型企業會進行SOAR平臺的建設。

 

2.  概述

       目前來講，通常大中型企業都已經創建了相對比較完備的安全運營中心SOC，爲何又要提出SOAR的概念呢。主要是由於在SOC的運營過程當中，面臨如下的一些問題：

• 大量的安全事件，都須要安全分析師的介入，運營成本高，企業須要用更少的錢，來作更多的事。
• 安全分析師的分析時間，常常被浪費在一些低級別或可有可無的事件分析上。
• 傳統的安全響應執行過程，響應時間長，人工介入多，相關處理過程難以定量評估。
• 人員流動，帶來運營過程的變化和運營質量的變化，好比老人離職，新人進來須要培訓，須要時間和經驗的積累。

       SOAR平臺主要就是解決這些問題，其核心概念主要包括：

• Orchestration，編排

        與過去相比，如今的安全運營中心須要整合大量的系統，運維的複雜度也大大增長，事件的響應與處理須要應對各類各樣的複雜的狀況。要知足這些需求，必然須要的提供豐富的事件響應與處理編排能力，能夠進行流程定製，流程執行，流程監控，結果的驗證與評估，流程再造。

• Automation，自動化

       當前安全分析師在解決安全問題時所須要的數據，分析的方法與過去相比，其工做量和內容都大大增長。數據是海量的數據，大量的數據須要使用自動化方式去處理。既能夠節省時間，人力，成本，也避免人在處理大量數據的過程當中帶來的偏差或失誤。

•  合理的KPI評估體系

       系統提供編排與自動化執行能力，也須要對流程和自動化執行的結果進行有效的評估，須要提供合理的評估方法，可量化的評估指標，根據評估結果，才能夠進行流程再造，優化咱們的編排內容，帶來整個安全運營中心的效率提高。

 

3.SOAR平臺基本功能需求

       針對SOC運營的一些問題，咱們能夠看出SOAR平臺須要具有的一些基本功能：

       1.系統可以對接主流的安全管理平臺的管理數據，能夠對安全事件進行二次分析和聚合。

       2.具有流程化自動執行功能，可以依據場景或案例，制定執行計劃和執行腳本，並具有自動、半自動和手動執行的能力。

       3.對執行效果能夠提供合適的KPI進行評估，反饋，在修改的能力。

       4.執行過程可以整合既有的知識庫，經驗。

       5.和威脅情報對接能力，多協議支持。

       6.可定製的可視化分析和展示，能夠定製Dashboard展示內容。

       7.內容分享，溝通和交互，充分利用微信，郵件等既有溝通平臺，提供反應速度。

 

4.SOAR和SOC的關係。

       有一部分人認爲SOAR的功能是包含在SOC中的，好比如今國內的一些安全廠家，也都在SOC中添加事件處理，調查，響應功能。可是專業的事仍是須要專業的軟件來執行，SOAR更偏重於安全分析師所作的工做，側重於過程，好比把對於一封釣魚郵件的分析，經過程序自動化的執行。並且一套好的SOAR平臺，是可以整合不一樣廠家的相關產品，無論是SIEM，SOC，仍是TI相關產品。SOC產品更偏重於事件的採集，分析與告警，響應在SOC中更多的是手動的的操做。