利用 SOAR 加快事件响应并加强网络安全

随着攻击面的扩大和攻击变得越来越复杂,与网络攻击者的斗争重担落在了安全运营中心 (SOC) 身上。SOC 可以通过利用安全编排、自动化和响应 (SOAR) 平台来加强组织的安全态势。这一系列兼容的以安全为中心的软件可加快事件调查和响应速度。SOAR 平台提高了对所有安全数据的可见性,简化了 IT 流程,自动执行了与安全相关的手动任务,减少了冗余和重复性工作,并改善了安全工具之间的协作。

什么是SOAR

安全编排自动化和响应 (SOAR) 是一种全面的网络安全方法,它将安全编排、自动化和事件响应结合到一个平台中。它使组织能够以简化和自动化的方式检测、调查和响应安全事件。SOAR 的三个主要组成部分是:

  • 安全编排:它将安全工具(包括 SIEM 系统、威胁情报平台和漏洞扫描程序)无缝集成到统一的安全生态系统中。这种集成增强了系统之间的协调和通信,促进了数据共享,并改善了工作流程管理,提高了网络安全运营的效率。
  • 安全自动化:SOAR 的自动化组件减少了手动、重复和耗时的事件响应任务。通过收集和分析安全数据、执行修正步骤以及使用预定义的 playbook 或工作流生成事件报告,SOAR 可以大大提高安全操作的效率。
  • 安全响应:它为事件响应管理提供了一个定义明确的框架。它通过案例管理、协作工具和通信渠道等功能简化了事件处理的整个生命周期,从检测到解决。

SOAR有什么好处

  • 性价比高:自动执行重复性任务并简化工作流程,以优化资源并降低运营成本。
  • 灵活性:与现有安全策略、流程和工具无缝集成,以满足特定的组织要求。
  • 事件管理的可扩展性和效率:处理大量事件,而不会影响效率和质量,即使安全环境变得更加复杂。
  • 增强的事件响应:通过自动执行重复性和手动任务来缩短事件响应时间。
  • 改善协作和沟通:有效地共享和记录事件响应期间采取的行动。
  • 一致性和标准化:确保处理所有事件的一致性和统一性,无论涉及何种安全分析师。

在这里插入图片描述

SOAR 平台

安全编排

  • 统一安全数据分析
  • 通过 ITIL 工具集成简化事件管理

统一安全数据分析

从网络中的各种来源无缝收集安全数据,包括活动目录(AD)用户,组,组织单位;网络设备,如防火墙、服务器、端点、以及漏洞扫描程序、数据丢失防护软件、威胁应用程序等应用程序。Log360为数据提供有意义的安全上下文,以快速准确地识别安全事件。

通过 ITIL 工具集成简化事件管理

利用票证工具集成将检测到的事件分配给安全管理员,从而确保事件解决的责任,Log360允许配置外部帮助台解决方案,例如ServiceNow,ServiceDesk Plus,Jira Service Desk,Zendesk,Kayako和BMC Remedy Service Desk。

安全自动化

  • 自动修复威胁:通过针对常见用例的预构建工作流,Log360 使您能够跨安全和 IT 流程自动执行事件响应。
  • 工作流自定义:借助 Log360,您可以使用自定义工作流构建器根据安全要求构建事件工作流。利用简单的拖放界面链接连续操作,根据上一个操作的成功或失败构建流程,执行时间延迟等。

安全修复

Log360 的事件响应管理根据环境中检测到的安全事件类型自动执行一系列常见补救措施,从而减少 SOC 的工作负载。自动化事件工作流有助于遏制对网络的潜在长期安全损害,减少警报响应时间,并提高 SOC 效率,以便团队能够应对其他挑战。

事件响应工作流配置文件

触发警报时自动执行响应工作流,以便在网络安全事件造成任何损害或导致违规之前缓解网络安全事件。Log360 提供预构建的工作流配置文件,以启动快速准确的安全响应。您还可以将工作流关联到警报配置文件、关联警报和其他安全警报,以自动修复威胁。

立即暂停可疑活动

自动执行事件工作流,阻止关键安全威胁利用组织的资产。借助 Log360 的事件响应模块,您可以:

  • 禁用或删除 AD 环境中可能遭到入侵的 AD 用户或计算机。
  • 终止可能遭到入侵的 Windows 设备上的进程。
  • 注销并禁用可能遭到入侵的 Windows 用户帐户。
  • 在受影响的设备上显示弹出警报。
  • 停止可能遭到入侵的设备上的服务。
  • 对设备执行 ping 操作以检查网络中的连接。
  • 对网络中的设备运行跟踪路由函数以识别路径。
  • 执行思科 ASA 防火墙操作,例如添加入站和出站规则。
  • 关闭或重新启动可能遭到入侵的 Linux 设备。
  • 在 Linux 设备上执行指定的脚本文件。

SOAR 和 SIEM 有什么区别

安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 都是安全运营中心 (SOC) 的不可或缺的工具,它们有助于事件管理和响应。虽然 SIEM 涉及分析来自多个来源的日志以检测威胁,但 SOAR 是关于编排多条信息并自动响应。理解这两种方法之间的差异至关重要,因为这两种方法对于帮助安全分析师都是必不可少的,但方式独特。

SIEM的组成部分

SIEM 解决方案分析日志数据以检测威胁并帮助您遵守合规性标准。其核心组件是:

  • 日志收集:从服务器、防火墙、工作站、数据库、应用程序、云服务等摄取日志。
  • 解析和分类:将从不同来源收集的原始日志聚合并处理为标准格式。
  • 关联和报告:查找模式,发现用例的异常,根据严重性分配风险评分,并向 SOC 团队发出警报。

一个好的 SIEM 解决方案可以通过以下方式帮助您充分利用日志数据:

  • 实时监控和识别风险,使您能够在攻击发生时检测到攻击。
  • 为 SOC 团队生成报告和整合仪表板,以全面了解安全环境。
  • 通过合规性监控,跟上公司和监管政策,如 PCI DSS、SOX、HIPAA 等。

简而言之,SIEM 系统从各种来源收集日志,分析它们以识别风险,根据既定规则分配风险评分,然后将任何高风险事件通知安全分析师。

当安全团队通过 SIEM 解决方案获得对其网络环境的充分可见性时,将为安全分析师可以执行的后续一系列步骤设置阶段,以应对威胁。

SOAR的组成部分

SOAR 专注于获取有关威胁的更多上下文、自动执行日常任务以及帮助 SOC 更快地响应事件。其核心组件是:

  • 引入警报:从 SIEM、外部威胁情报和其他基于 API 的平台获取威胁源。
  • 编排和自动化:通过与各种相关工具和解决方案集成,自动调查威胁。
  • 威胁响应:按照剧本或工作流的指示实施快速自动修复。
  • 分辨率:使用高级威胁分析构建见解,并在必要时通过自动分配票证进行升级,以便分析师进行跟进和进一步调查。

除了威胁源之外,SOAR 还从外部威胁情报平台、端点安全软件和其他第三方来源收集数据,以确定情况的全貌。警报在映射到特定用例后进行调查,并执行预设的补救措施。用户还可以创建和自定义调查路径和补救措施。为了确保不会错过任何关键事件,可以通过与服务台或其他票务平台集成来分配自动工单。

SOAR 使安全团队能够有效地应对更多威胁,同时缩短响应时间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/133897.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

单元格法近似求解多边形最大内接矩形问题【思路讲解+java实现】

文章目录 问题描述问题解决方案多边形网格化区分每个单元格是在多边形内部还是外部根据已标记单元格寻找最大内接矩形剪枝优化多角度旋转 案例测试代码实现说明 问题描述 给定一个多边形的点集,希望找出多边形内部面积最大的矩形。该问题可能出现在,从一…

聊聊Spring事务同步器TransactionSynchronization

在一些业务场景中可能我们需要去对某一个spring事务的生命周期进行监控,比如在这个事务提交,回滚,被挂起的时候,我们想要去执行一些自定义的操作,这怎么去做呢?其实spring作为一个高扩展性的框架&#xff0…

关系型三大范式与BCNF有什么用呢

学的时候就知道是一堆公式。 实际中在设计表的时候可能会用到。 前提是关系型数据库,比如mysql。 (实际中oracle比mysql更好用。但是他收费啊。) 第一范式:每个属性都是原子的(需要做到每个属性都是不可分割的。&…

02 java ---- Android 基础app开发

目录 相对布局 显示一个美女 显示两个美女 安卓APP启动过程 安卓布局控件 常用布局之相对布局 常用布局之相对布局 padding和margin 按键美化 常用布局之线性布局 安卓按键响应的几种方式 直接设置按键的onClick绑定的函数 自定义类实现按键监听事件的接口 匿名内…

[NLP] LLM---<训练中文LLama2(一)>训练一个中文LLama2的步骤

一 数据集 【Awesome-Chinese-LLM中文数据集】 【awesome-instruction-dataset】【awesome-instruction-datasets】【LLaMA-Efficient-Tuning-数据集】Wiki中文百科(25w词条)wikipedia-cn-20230720-filteredBaiduBaiKe(563w词条) …

4.后端·新建子模块与开发(传统模式)

文章目录 学习资料新建子模块与各层查询entity的列表entitymapper层service层controller层 测试 学习资料 https://www.bilibili.com/video/BV13g411Y7GS?p8&spm_id_frompageDriver&vd_sourceed09a620bf87401694f763818a31c91e b站的学习视频 新建子模块与各层 在r…

Linux Ubuntu20.04深度学习环境快速配置命令记录

一、驱动安装 1、更新系统包 sudo apt-get updatesudo apt-get upgrade 2、安装显卡驱动 使用apt方式安装驱动,多数情况不容易成功, 使用一下方法更佳: 1.查看合适显卡的驱动版本 ubuntu-drivers devices NVIDIA GeForce 驱动程序 - …

POJ 3684 Physics Experiment 弹性碰撞

一、题目大意 我们有N个半径为R厘米的球,固定在距离地面高度为H的管道上,刚开始释放第一个,之后每过一秒释放一个,释放下面的球不会影响到上面的球的高度,忽略一切阻力,认为球之间的碰撞为弹性碰撞&#x…

【电子元件】常用电子元器件的识别之电容器

目录 前言1. 电容器的简介2.电容器的识别1. 铝电解电容器2.钽电解电容器3.固态电解电容器4.瓷介电容器5. 贴片陶瓷电容器6. 聚丙烯电容7. 金属化聚丙烯薄膜电容器8. 独石电容器9. 涤纶电容器10. 超小型金属化聚酯薄膜电容器11. 可变电容器11.1 空气可变电容器11.2 薄膜介质可变…

JMeter基础 —— 使用Badboy录制JMeter脚本!

1、使用Badboy录制JMeter脚本 打开Badboy工具开始进行脚本录制: (1)当我们打开Badboy工具时,默认就进入录制状态。 如下图: 当然我们也可以点击录制按钮进行切换。 (2)在地址栏中输入被测地…

国庆中秋特辑(一)浪漫祝福方式 用循环神经网络(RNN)或长短时记忆网络(LSTM)生成祝福诗词

目录 一、使用深度学习中的循环神经网络(RNN)或长短时记忆网络(LSTM)生成诗词二、优化:使用双向 LSTM 或 GRU 单元来更好地捕捉上下文信息三、优化:使用生成对抗网络(GAN)或其他技术…

深度学习-卷积神经网络-纹理表示卷积神经网络-卷积神经网络-[北邮鲁鹏]

这里写目录标题 参考文章全连接神经网络全连接神经网络的瓶颈全连接神经网络应用场景 卷积神经网络卷积层(CONV)卷积核卷积操作卷积层设计卷积步长(stride)边界填充特征响应图组尺寸计算 激活层池化层(POOL)池化操作定义池化操作作用池化层超参数常见池化操作 全连接层(FC)样本…

重建与发展:数字资产借贷行业朝着可持续发展迈进!

纵观历史,贷款和货币一样古老,无论哪种形式的货币都需要有其借贷市场。现在,比特币以其分散和透明的性质,在加密领域占据龙头地位。 就像之前的货币一样,比特币要真正蓬勃发展,也需要一个强大的借贷市场。然…

如何在Windows 10/11中重置网络,以及重置后的注意事项有哪些

本文介绍如何在Windows 10和Windows 11中重置网络设置。 如何重置Windows 10网络设置 在Windows10中使用网络重置实用程序相当简单。 一、进入“开始”菜单>“设置”,然后选择“网络和Internet”。 二、在左侧导航窗格中,选择“状态”以确保你正在查看网络状态窗口。然…

嵌入式入门教学——模电基础概念

目录 1、模拟信号和模拟电路 2、研究领域 3、常用术语 3.1、共价键 3.2、电场 3.3、温度的电压当量 3.4、动态信号 3.5、直流电流和交流电流 3.6、内阻 3.7、信号频率 3.8、电容 3.9、电感 3.10、相位 3.11、信号失真 3.12、电导 3.13、跨导 3.14、电位 3.15…

数据结构——图(图的存储及基本操作)

文章目录 前言一、邻接矩阵法(顺序存储)1.无向图存储邻接矩阵算法2.有向图存储邻接矩阵算法 二、邻接表法(图的链式存储结构)总结 前言 邻接矩阵法(图的顺序存储结构) 1.1 无向图邻接矩阵算法 1.2 有向图邻接矩阵算法邻接表法(图的一种链式存储结构) 一…

Unity WebView 中文输入支持

WebView 中文输入支持 🥪效果展示🍱原理 🥪效果展示 💡使用版本为4.4; 💡测试环境:unity editor 2022.3.15f1c1、Windows; 🍱原理 提取页面激活的输入框,…

github上创建分支并合并到master

github上创建分支并合并到master 目录概述需求: 设计思路实现思路分析1.创建分支2.commit changes3.create pull request按钮4.网页解析器5.数据处理器 参考资料和推荐阅读 Survive by day and develop by night. talk for import biz , show your perfect code,ful…

多线程|多进程|高并发网络编程

一.多进程并发服务器 多进程并发服务器是一种经典的服务器架构,它通过创建多个子进程来处理客户端连接,从而实现并发处理多个客户端请求的能力。 概念: 服务器启动时,创建主进程,并绑定监听端口。当有客户端连接请求…

LLM 04-大模型的数据

LLM 03-大模型的数据 到目前为止,我们已经讨论了大型语言模型的行为(能力和损害)。现在,我们要剥开洋葱的第一层,开始讨论这些模型是如何构建的。任何机器学习方法的起点都是训练数据,因此这就是我们开始的…