随着攻击面的扩大和攻击变得越来越复杂，与网络攻击者的斗争重担落在了安全运营中心 （SOC） 身上。SOC 可以通过利用安全编排、自动化和响应 （SOAR） 平台来加强组织的安全态势。这一系列兼容的以安全为中心的软件可加快事件调查和响应速度。SOAR 平台提高了对所有安全数据的可见性，简化了 IT 流程，自动执行了与安全相关的手动任务，减少了冗余和重复性工作，并改善了安全工具之间的协作。

什么是SOAR

安全编排自动化和响应 （SOAR） 是一种全面的网络安全方法，它将安全编排、自动化和事件响应结合到一个平台中。它使组织能够以简化和自动化的方式检测、调查和响应安全事件。SOAR 的三个主要组成部分是：

• 安全编排：它将安全工具（包括 SIEM 系统、威胁情报平台和漏洞扫描程序）无缝集成到统一的安全生态系统中。这种集成增强了系统之间的协调和通信，促进了数据共享，并改善了工作流程管理，提高了网络安全运营的效率。
• 安全自动化：SOAR 的自动化组件减少了手动、重复和耗时的事件响应任务。通过收集和分析安全数据、执行修正步骤以及使用预定义的 playbook 或工作流生成事件报告，SOAR 可以大大提高安全操作的效率。
• 安全响应：它为事件响应管理提供了一个定义明确的框架。它通过案例管理、协作工具和通信渠道等功能简化了事件处理的整个生命周期，从检测到解决。

SOAR有什么好处

• 性价比高：自动执行重复性任务并简化工作流程，以优化资源并降低运营成本。
• 灵活性：与现有安全策略、流程和工具无缝集成，以满足特定的组织要求。
• 事件管理的可扩展性和效率：处理大量事件，而不会影响效率和质量，即使安全环境变得更加复杂。
• 增强的事件响应：通过自动执行重复性和手动任务来缩短事件响应时间。
• 改善协作和沟通：有效地共享和记录事件响应期间采取的行动。
• 一致性和标准化：确保处理所有事件的一致性和统一性，无论涉及何种安全分析师。

SOAR 平台

安全编排

• 统一安全数据分析
• 通过 ITIL 工具集成简化事件管理

统一安全数据分析

从网络中的各种来源无缝收集安全数据，包括活动目录（AD）用户，组，组织单位;网络设备，如防火墙、服务器、端点、以及漏洞扫描程序、数据丢失防护软件、威胁应用程序等应用程序。Log360为数据提供有意义的安全上下文，以快速准确地识别安全事件。

通过 ITIL 工具集成简化事件管理

利用票证工具集成将检测到的事件分配给安全管理员，从而确保事件解决的责任，Log360允许配置外部帮助台解决方案，例如ServiceNow，ServiceDesk Plus，Jira Service Desk，Zendesk，Kayako和BMC Remedy Service Desk。

安全自动化

• 自动修复威胁：通过针对常见用例的预构建工作流，Log360 使您能够跨安全和 IT 流程自动执行事件响应。
• 工作流自定义：借助 Log360，您可以使用自定义工作流构建器根据安全要求构建事件工作流。利用简单的拖放界面链接连续操作，根据上一个操作的成功或失败构建流程，执行时间延迟等。

安全修复

Log360 的事件响应管理根据环境中检测到的安全事件类型自动执行一系列常见补救措施，从而减少 SOC 的工作负载。自动化事件工作流有助于遏制对网络的潜在长期安全损害，减少警报响应时间，并提高 SOC 效率，以便团队能够应对其他挑战。

事件响应工作流配置文件

触发警报时自动执行响应工作流，以便在网络安全事件造成任何损害或导致违规之前缓解网络安全事件。Log360 提供预构建的工作流配置文件，以启动快速准确的安全响应。您还可以将工作流关联到警报配置文件、关联警报和其他安全警报，以自动修复威胁。

立即暂停可疑活动

自动执行事件工作流，阻止关键安全威胁利用组织的资产。借助 Log360 的事件响应模块，您可以：

• 禁用或删除 AD 环境中可能遭到入侵的 AD 用户或计算机。
• 终止可能遭到入侵的 Windows 设备上的进程。
• 注销并禁用可能遭到入侵的 Windows 用户帐户。
• 在受影响的设备上显示弹出警报。
• 停止可能遭到入侵的设备上的服务。
• 对设备执行 ping 操作以检查网络中的连接。
• 对网络中的设备运行跟踪路由函数以识别路径。
• 执行思科 ASA 防火墙操作，例如添加入站和出站规则。
• 关闭或重新启动可能遭到入侵的 Linux 设备。
• 在 Linux 设备上执行指定的脚本文件。

SOAR 和 SIEM 有什么区别

安全信息和事件管理 （SIEM） 以及安全编排、自动化和响应 （SOAR） 都是安全运营中心 （SOC） 的不可或缺的工具，它们有助于事件管理和响应。虽然 SIEM 涉及分析来自多个来源的日志以检测威胁，但 SOAR 是关于编排多条信息并自动响应。理解这两种方法之间的差异至关重要，因为这两种方法对于帮助安全分析师都是必不可少的，但方式独特。

SIEM的组成部分

SIEM 解决方案分析日志数据以检测威胁并帮助您遵守合规性标准。其核心组件是：

• 日志收集：从服务器、防火墙、工作站、数据库、应用程序、云服务等摄取日志。
• 解析和分类：将从不同来源收集的原始日志聚合并处理为标准格式。
• 关联和报告：查找模式，发现用例的异常，根据严重性分配风险评分，并向 SOC 团队发出警报。

一个好的 SIEM 解决方案可以通过以下方式帮助您充分利用日志数据：

• 实时监控和识别风险，使您能够在攻击发生时检测到攻击。
• 为 SOC 团队生成报告和整合仪表板，以全面了解安全环境。
• 通过合规性监控，跟上公司和监管政策，如 PCI DSS、SOX、HIPAA 等。

简而言之，SIEM 系统从各种来源收集日志，分析它们以识别风险，根据既定规则分配风险评分，然后将任何高风险事件通知安全分析师。

当安全团队通过 SIEM 解决方案获得对其网络环境的充分可见性时，将为安全分析师可以执行的后续一系列步骤设置阶段，以应对威胁。

SOAR的组成部分

SOAR 专注于获取有关威胁的更多上下文、自动执行日常任务以及帮助 SOC 更快地响应事件。其核心组件是：

• 引入警报：从 SIEM、外部威胁情报和其他基于 API 的平台获取威胁源。
• 编排和自动化：通过与各种相关工具和解决方案集成，自动调查威胁。
• 威胁响应：按照剧本或工作流的指示实施快速自动修复。
• 分辨率：使用高级威胁分析构建见解，并在必要时通过自动分配票证进行升级，以便分析师进行跟进和进一步调查。

除了威胁源之外，SOAR 还从外部威胁情报平台、端点安全软件和其他第三方来源收集数据，以确定情况的全貌。警报在映射到特定用例后进行调查，并执行预设的补救措施。用户还可以创建和自定义调查路径和补救措施。为了确保不会错过任何关键事件，可以通过与服务台或其他票务平台集成来分配自动工单。

SOAR 使安全团队能够有效地应对更多威胁，同时缩短响应时间。