如何輕鬆完成企業安全編排回應SOAR

權威諮詢機構Gartner發布的2019 年安全編排與自動化回應解決方案（SOAR）市場指南中指出，「截止2022年，安全團隊規模超過5人的安全企業中，超過30%的企業將使用SOAR安全編排自動化響應方案」。今天就來介紹下，企業如何借助綠盟SOAR系統在三分鐘內完成安全編排及自動化回應。

從安全事件處置流程看企業在安全營運中的痛點及訴求

在企業傳統的安全運作及事件處置中，一般遵循以下流程：

表：傳統安全運維流程

經過以上的7步，一個資訊安全事件的處置流程才算是結束。在過程中，會有多個部門不同角色參與，處置流程較繁瑣，效率難以量化，不同事件的處置流程難以統一標準化。

同時企業在安全維運中還常面臨以下痛點：事件警報太多，有效事件警告被淹沒，導致安全事件難以及時處置。企業側往往缺乏安全分析及處置的專業人員，安全分析經驗難固化，而且安全專家很容易陷於重複的安全處置工作中，以至很難發揮出其真正的價值。最重要的是，企業受到流程及人員的限制，傳統安全回應處置的時間過長。

因此企業在安全營運發展及演變中增加了以下的訴求:

提高信噪比：增加有效高保真告警，使有限的安全專家資源專注投入於真正需要危險和問題上。

降低MTTR:​​ 固化安全處置流程，持續累積營運經驗，持續運營，使得回應處置時間不斷降低。

綠色聯盟科技SOAR安全編排與自動化回應方案

圖：綠色聯盟SOAR組件入口

ISOP智慧安全營運平台已經融合了SOAR安全編排自動化回應功能，從綠盟ISOP智慧安全營運中心運維響應-連動編排入口，即可使用安全編排及自動化回應處置功能，開啟企業自動化安全編排回應之旅。

 圖：綠盟SOAR安全編排及自動化反應方案

ISOP中SOAR組件透過視覺化編排將人、安全技術、流程進行深度融合；透過人工維運經驗固化而來的Playbook劇本串並聯建構安全事件處置的工作流程，自動化觸發不同安全設備執行響應動作，案例管理基於對安全事件上下文有更全面、端到端的理解，幫助企業將複雜的事件響應過程和任務流轉變為一致的、可重複的、可度量的和有效的工作流程，變被動應急響應為自動化持續響應。

五大核心協助企業實現安全編排回應

1、全生命週期個案管理

  圖：個案管理

#案例是SOAR組件中最基礎的功能，貫穿整個安全事件處置生命週期，包括資訊安全事件研判所需的日誌來源、安全規則、情報取證及事件處置Playbook劇本的選擇及執行。企業中警告安全事件只要能配對到案例，即可完成自動化回應處置，案例對安全事件情境有更全面、端到端的理解，有助於將複雜的事件回應過程和任務轉換為一致的、可重複的、可度量的和有效的工作流程。

在企業安全營運中，可將常見的安全事件與SOAR不同類別的案例建立對應關係，同一性質的案例（如：挖礦、入侵、拒絕服務、勒索、釣魚、盜鏈、資訊外洩等）可以選擇一類相通的處置方法，案例的流程處理功能可以為不同性質的案例指派不同的Playbook劇本，並監督執行完成企業安全事件自動化閉環響應處置。

2、視覺化安全拖曳編排

圖：視覺化案例編排1

 圖：視覺化案例編排2

ISOP中SOAR組件內建了一些常見攻擊對應的案例，除此之外，企業可透過可視化拖曳編排方式快速創建案例及其對應Playbook劇本，安全研判不同步驟間往往具有依賴關係，安全事件分析過程透過視覺化拖曳方式，為安全處置提供上下文，避免傳統運維要在不同頁間進行跳轉切換，降低安全事件處置複雜度。案例一旦創建成功啟用，後續命中案例的事件即可透過自動化方式進行處置，降低了不同部門間協同溝通、流程流轉消耗的成本。

  圖：案例處置流程追蹤

案例可以幫助企業對一組相關的事件進行流程化、持續化的調查分析與回應處置追蹤記錄，案例執行過程中，安全事件每個中間過程執行狀態（成功、執行中、失敗）均可在視覺化編排流程中進行展示，進而實現端對端運維流程視覺化。

3、Playbook劇本自動化處置

圖：劇本Playbook運行狀態

Playbook劇本等同於安全工程師的工作流程，可驅動與案例匹配事件的自動化閉環安全處置，ISOP SOAR模組可能涉及多個劇本並發執行，不同劇本的運作狀態可透過介面進行全域概覽（正在執行、執行成功、失敗）。

企業中安全事件處置流程經驗可以固化為Playbook劇本，並應用於自動化回應處置中，處置的動作可包括設備封鎖、工單發送、郵件通知等，這樣安全專家就可以從繁瑣重複的安全運作中釋放出來。

4、外掛程式回應設備整合

自動化安全編排回應「最後一公里路」封鎖回應一般由安全設備執行，綠盟ISOP一鍵封鎖模組前期已經累積了大量的響應處置設備，如防火牆、ADS、UTS、IDS、WAF等，響應的動作包括：會話封鎖、IP封禁、域名黑名單、流量牽引清洗等，這些設備無需二次開發，即可直接通過SOAR模組實現即插即用。只需要根據第三方設備提供的北向管控介面開發插件，就可完成第三方設備自動化連動編排回應。

接入到SOAR系統的安全設備，透過Playbook劇本調用，即可完成自動化回應處置，無需安全運維人員登入獨立的安全設備上配置阻斷策略。

5、自動化維運大螢幕展示

  圖:自動化維運大螢幕展示

自動化維運大螢幕可從全域觀點呈現企業自動化回應處置概況，如自動回應營運效率、個案事件統計資料、個案事件處置趨勢、劇本執行資訊等，將維運指標透過可度量可量化方式進行展示。

綠盟SOAR系統為企業安全營運帶來的價值

1、降低安全事件處置時間MTTR

對於已知個案事件，透過個案比對觸發機制，企業可在三分鐘內完成安全編排及自動化閉環回應流程。

表：傳統運維時效與自動化維運回應處置時間比較

2、將安全維運人員從重複工作中釋放出來

將安全專家的經驗固化成Playbook，實現已知攻擊分析、研判、處置全流程自動化，讓安全專家將精力投入紅藍對抗、威脅狩獵、威脅建模、APT分析、漏洞挖掘等需要高階安全技能的工作場景，為企業安全維運工作創造更高的價值。

3、安全處置流程標準化，降低部門間協同溝通成本

SOAR系統的精髓是不同威脅情境對應的研判策略和處置策略的選擇，這也正是Playbook在企業攻防對抗競爭中的核心價值體現之處，維運流程的標準化是Playbook劇本固化的前提，可藉助SOAR Playbooks生成為抓手，變繁雜不規矩的處置流程標準化，夯實企業資訊安全營運流程標準化建設。

以上是如何輕鬆完成企業安全編排回應SOAR的詳細內容。更多資訊請關注PHP中文網其他相關文章！