什么是 SOAR?
安全编排、自动化和响应(SOAR)是一组兼容的软件程序,使组织能够收集有关安全威胁的数据并在很少或无需人工协助的情况下响应安全事件。使用 SOAR 平台的目标是提高物理和数字安全运营的效率。 SOAR 平台具有三个主要组件:安全编排、安全自动化和安全响应。 安全编排 安全编排通过内置或自定义集成和应用程序编程接口连接和集成不同的内部和外部工具。连接的系统可能包括漏洞扫描器、端点保护产品、用户和实体行为分析、防火墙、入侵检测和入侵防御系统(IDS / IPS)、安全信息和事件管理(SIEM)平台、端点安全软件、外部威胁情报源和其他第三方来源。 通过这些来源收集的数据越多,检测威胁的机会就越大,同时组装更完整的上下文并改善协作。然而,权衡是需要更多的警报和更多的数据来摄取和分析。当安全编排收集并整合数据以启动响应功能时,安全自动化就会采取行动。 安全自动化 安全自动化由从安全编排收集的数据和警报提供,摄取和分析数据,并创建重复的自动化流程来取代手动流程。以前由分析师执行的任务,例如漏洞扫描、日志分析、票据检查和审计功能,可以通过 SOAR 平台标准化并自动执行。SOAR 自动化利用人工智能 (AI) 和机器学习来解读和调整分析师的见解,可以对威胁进行优先级排序、提出建议并自动执行未来的响应。或者,如果需要人工干预,自动化可能会加剧威胁。 行动手册对于 SOAR 的成功至关重要。预构建或定制的剧本是预定义的自动化操作。可以连接多个 SOAR playbook 以完成复杂的操作。例如,如果在员工电子邮件中发现并在扫描过程中识别出恶意 URL,则可以制定一个剧本来阻止该电子邮件,提醒员工潜在的网络钓鱼尝试,并将发件人的 IP 地址列入黑名单。如有必要,SOAR 工具还可以触发安全团队的后续调查行动。就网络钓鱼示例而言,后续措施可能包括在其他员工收件箱中搜索类似电子邮件,如果发现则阻止它们及其 IP 地址。 安全响应 安全响应为分析师提供了单一视图,以规划、管理、监控和报告检测到威胁后所执行的操作。这一单一视图支持安全、网络和系统团队之间的协作和威胁情报共享。它还包括事件后响应活动,例如案例管理和报告。
SOAR 的好处
SOAR 平台为企业安全运营 ( SecOps ) 团队提供了许多好处,包括以下内容:
- 更快的事件检测和反应时间。安全威胁和事件的数量和速度不断增加。SOAR 改进的数据上下文与自动化相结合,可以降低平均检测时间 ( MTTD),并加快平均响应时间 (MTTR)。通过更快地检测和响应威胁——通
- 过自动化剧本(如果可用)——可以减轻威胁的影响。
- 更好的威胁背景。通过集成来自更广泛的工具和系统的更多数据,SOAR 平台可以提供更多背景信息、更好的分析和最新的威胁信息。
- 简化管理。SOAR 平台将各种安全系统的仪表板整合到一个界面中。这可以通过集中信息和数据处理、简化管理并节省时间来帮助 SecOps 和其他团队。
- 可扩展性。扩展耗时的手动流程可能会消耗员工的精力,甚至随着安全事件量的增长而无法跟上。SOAR 的编排、自动化和工作流程可以更轻松地满足可扩展性需求。
- 提高了分析师的工作效率。自动化较低级别的威胁增强了 SecOps 和安全运营中心团队的职责,使他们能够更有效地确定任务的优先级,并更快地响应需要人工干预的威胁。
- 简化运营。自动执行较低级别任务的标准化程序和手册使 SecOps 团队能够在同一时间段内响应更多威胁。这些自动化工作流程还确保在整个组织范围内的所有系统上应用相同的标准化修复工作。
- 报告和协作。SOAR 平台的报告和分析可以快速整合信息,从而实现更好的数据管理流程和更好的响应工作,以更新现有的安全策略和程序,以实现更有效的安全。SOAR 平台的集中式仪表板还可以改善不同企业团队之间的信息共享,从而增强沟通和协作。
- 降低了成本。在许多情况下,使用 SOAR 工具增强安全分析师可以降低成本,而不是手动执行所有威胁分析、检测和响应工作。
SOAR 面临哪些挑战?
SOAR 不是一项银弹技术,也不是一个独立的系统。SOAR 平台应该成为深度防御安全策略的一部分,特别是因为它们需要其他安全系统的输入才能成功检测威胁。 SOAR 是一种补充技术,而不是其他安全工具的替代品。SOAR 平台并不能取代人类分析师,而是可以增强他们的技能和工作流程,以实现更有效的事件检测和响应。 SOAR 的其他潜在缺点包括:
- 未能纠正更广泛的安全策略
- 合并的期望
- 集成复杂性
- 部署和管理复杂性
- 缺乏或有限的指标
SOAR 功能和用例
SOAR 一词由 Gartner 于 2015 年创造,最初代表安全运营、分析和报告。它于 2017 年更新为当前形式,Gartner 将 SOAR 的三个主要功能定义如下:
- 支持漏洞修复的威胁和漏洞管理技术,提供正式的工作流程、报告和协作功能
- 支持组织如何规划、管理、跟踪和协调安全事件响应的安全事件响应技术
- 支持工作流、流程、策略执行和报告的自动化和编排的安全运营自动化技术
Gartner 进一步扩展了定义,将 SOAR 的技术融合细化为:
- 安全事件响应平台,包括漏洞管理、案例管理、事件管理、工作流程、事件知识库、审计和日志记录功能、报告等功能
- 安全编排和自动化,包括集成、工作流程自动化、剧本、剧本管理、数据收集、日志分析和帐户生命周期管理
- 威胁情报平台,包括威胁情报聚合、分析和分发;警报上下文丰富;和威胁情报可视化
什么是 SIEM?
与 SOAR 平台不同,SIEM 平台聚合来自多种工具、技术和流程的日志和事件数据,以帮助组织检测、分析和响应潜在的安全事件。 SIEM 将安全信息管理 (SIM) 和安全事件管理 (SEM) 结合到一个平台中。SIEM 工具使用收集代理从设备、服务器、基础设施、网络和系统以及防火墙、反恶意软件、DNS 服务器、数据丢失防护工具、安全 Web 网关和 IDSes/IPS 等安全工具收集信息。SIEM 使用收集到的信息来识别潜在的异常和威胁。然后,SIEM 会向安全团队发出有关任何安全事件的警报。 SIEM 功能各不相同,但大多数包括日志管理、数据关联、分析、仪表板和警报。
SOAR 与 SIEM
虽然 SOAR 和 SIEM 平台都聚合来自多个来源的数据,但这些术语不可互换。SIEM 系统收集数据、识别偏差、对威胁进行排名并生成警报。SOAR 系统也可以处理这些任务,但它们具有额外的功能。首先,SOAR 平台与更广泛的内部和外部应用程序集成,包括安全和非安全应用程序。其次,SIEM 系统仅向安全分析师发出潜在事件的警报,而 SOAR 平台则使用自动化、人工智能和机器学习来为这些威胁提供更丰富的背景信息和自动响应。 许多公司使用 SOAR 来增强内部 SIEM 软件。未来,SIEM 供应商预计将在其服务中添加 SOAR 功能,这意味着这两个产品线的市场将合并。许多 SIEM 供应商在其 SIEM 产品中提供 SOAR 功能(即自动化),通常将其称为下一代 SIEM。其他产品,如电子邮件安全网关、端点检测与响应、网络检测与响应以及扩展检测与响应等,也正在采用 SOAR 功能。
SOAR 供应商
Gartner 的 2022 SOAR 市场指南提供了代表性供应商及其产品的列表,包括以下内容:
- Anomali ThreatStream
- Cyware Virtual Cyber Fusion Center
- D3 Security NextGen SOAR
- Divo SOAR (formerly LogicHub)
- EclecticIQ Platform
- Fortinet FortiSOAR
- Google Cloud Chronicle Security Operations (formerly Siemplify)
- Honeycomb SOCAutomation
- IBM Security QRadar SOAR
- Logsign SOAR
- NSFOCUS Intelligent Security Operation Platform
- OpenText ArcSight (formerly Micro Focus)
- Palo Alto Networks Cortex XSOAR
- QAX SOAR
- Rapid7 InsightConnect
- Revelstoke SOAR
- ServiceNow Security Operations
- SIRP SOAR
- Splunk SOAR
- Sumo Logic Cloud SOAR
- Swimlane Turbine
- ThreatConnect
- ThreatQuotient TDR Orchestrator
- Tines
- Torq