一、SOAR概述

<i id='XNHjp'></i>

 圖片來源：Gartner, Solution Path for Security in the Public Cloud, Figure 13, January 2020

SOAR 的全稱是 Security Orchestration, Automation and Response，意即安全編排自動化與響應。該技術聚焦安全運維領域，重點解決（但不并不限于）安全響應的問題，最早由 Gartner 在 2015 年提出。當時，Gartner 將 SOAR 定義為 Security Operations, Analytics, and Reporting（安全運維分析與報告）。隨著安全運維技術的快速發展與演變，到了 2017 年，Gartner 重新將 SOAR 定義為安全編排自動化與響應，并將其看作是安全編排與自動化 (SOA,Security Orchestration and Automation)、安全事件響應平臺 (SIRP, Security Incident Response Platform) 和威脅情報平臺 (TIP, Threat Intelligence Platform) 三種技術/工具的融合。Gartner 認為，SOAR 技術仍然在快速演化，內涵未來仍可能會變化，但其圍繞安全運維，聚焦安全響應的目標不會改變。

安全團隊通常將SOAR和SIEM(System Information and Event Management：安全信息和事件管理)互換使用，但是，這些做法是兩個具有互補功能的獨立安全解決方案。實際上，這兩種工具的協同工作效果非常好，以至于SecOps團隊通常會串聯使用這些技術來優化其安全運營中心。要全面了解SOAR，先了解一下SIEM, SIEM解決方案專注于：

• 日志數據存儲
• 威脅情報
• 資料匯整
• 威脅檢測
• 通知

受到嚴格監管的行業的用戶還使用SIEM軟件存儲和組織日志數據的能力，以證明其符合政府法規和安全標準。

SIEM流程

 SIEM的常見任務包括：

• 從許多內部來源收集日志數據
• 匯總和規范化數據
• 分析數據以發現可能的網絡安全漏洞
• 發送警報或利用已建立的協議來關閉安全事件

SIEM工具的挑戰在于流程的最后一步，這通常需要一組安全工程師和分析人員不斷調整軟件警報。此步驟需要大量人力資源：可能需要許多工時來連續管理規則和使用案例，以確保正常活動不會與可疑活動混在一起。由人員配備適當的安全部門運行的，經過適當調整的SIEM對組織的檢測和事件響應功能至關重要。但是，手動修復的挑戰和現有SIEM解決方案的其他缺點留下了一個漏洞：SecOps團隊應如何管理和響應過多數據帶來的無盡警報？

二、SOAR的組成

SOAR平臺是軟件解決方案和工具的集合，旨在瀏覽各種資源并收集：

• 安全威脅
• 數據
• 報警

然后SOAR工具通過人與機器學習的組合來分析這些不同的數據，以了解事件響應活動并確定其優先級。傳統上，人類必須審查，補救和標準化各種動作到數字工作流程中，以定義事件響應程序。但是該過程需要大量資源，并會引入人為錯誤。SOAR解決方案可以通過組合各種數據任務來為您定義事件響應過程，這些任務包括：

1. 資料收集
2. 案例管理
3. 標準化
4. 工作流程
5. 分析工具

然后可以通過自動化的機器驅動活動來處理此活動。讓我們看一下組成SOAR的三個安全任務：

1、編排：Orchestration

編排是一種集成多種技術并連接安全工具（特定于安全性和非特定于安全性）的行為，以使它們協同工作，同時縮短安全事件響應時間。這意味著SOAR解決方案的功能遠不止是從SIEM系統中提取和分析警報。SOAR解決方案還可以從以下方面提取和分析警報：

1. 用戶和實體行為分析（UEBA）
2. 威脅情報平臺
3. 事件響應平臺
4. 入侵檢測和防御系統（IDPS）
5. 其他

通常來自多個供應商的多個安全解決方案可以提高數據的整體安全性。但是，它通常會導致更多警報，包括虛假警報，以及專職且訓練有素的員工調查每個人所花費的時間。

           Splunk Automate Security Actions Using Phantom Playbooks

2、自動化：Automation

自動化是與安全操作相關的任務的機器驅動執行。以前由人類執行的任務可以通過SOAR解決方案執行和標準化：

1. 自動化步驟
2. 決策流程
3. 執法行動
4. 狀態檢查
5. 審核能力

有了SOAR，這些任務就不再浪費人力資源。

3、響應-Response

空閑時間意味著安全團隊可以專注于實際的安全事件和解決方案。SOAR通過使分析范圍擴展到SIEM的日志數據之外，從而使分析人員可以就事件進行協作，從而進一步使這些分析人員可以確定對潛在漏洞的補救措施，以防止進一步的攻擊。SOAR工具還包括案例管理模塊。這些模塊可用于交流學習信息和提供威脅情報，從而進一步縮短對未來攻擊的主動響應時間。

Splunk Collaborate and Respond to Security Incidents Fast

三、SOAR用例

在相對較短的SOAR平臺出現之后，安全團隊便以創新的方式利用了這些工具，從而在更短的時間內實現了更多目標，同時仍然可以在最關鍵的時刻做出人為的決策。SOAR最常見用例的一些示例是：

1. 網絡釣魚電子郵件
2. 惡意網絡流量
3. 簡化漏洞管理
4. 滿足服務水平協議
5. 案例管理

SOAR的例子

讓我們以網絡釣魚電子郵件為例。SOAR的位置十分理想，可以自動分類和檢查可疑的惡意電子郵件。在過去的幾年中，精心設計的網絡釣魚電子郵件導致了許多備受矚目的數據泄露，這使其成為安全團隊面臨的最關鍵的問題之一。如果收到可疑電子郵件，SOAR可以提取工件，例如標題信息，電子郵件地址，URL和附件。然后，您可以使用各種技術集成來分析此數據。如果確定為惡意，SOAR平臺可以采取自動或半自動操作來遏制威脅。安全團隊定義下一步行動。在這種情況下，下一步可能是：

1. 隔離或刪除電子郵件
2. 搜索和刪除其他用戶帳戶中電子郵件的其他實例
3. 阻止IP地址或URL
4. 禁止可執行文件運行
5. 隔離用戶的工作站

使用SOAR來檢查和響應組織的個人使用情況，例如網絡釣魚電子郵件，可以自動控制攻擊，同時將對組織的風險降至最低，從而將調查時間從數小時縮短至數分鐘。如果SOAR實施得當并且建立在強大而準確的數據之上，它將使安全團隊可以減少耗費時間的低級安全事件的負擔，從而簡化其安全運營中心。