如何輕松完成企業(yè)安全編排響應(yīng)SOAR

本篇文章給大家分享的是有關(guān)如何輕松完成企業(yè)安全編排響應(yīng)SOAR，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話(huà)不多說(shuō)，跟著小編一起來(lái)看看吧。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、順河ssl等。為上千企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢(xún)和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的順河網(wǎng)站制作公司

權(quán)威咨詢(xún)機(jī)構(gòu)Gartner發(fā)布的 2019 年安全編排與自動(dòng)化響應(yīng)解決方案（SOAR）市場(chǎng)指南中指出，“截止2022年，安全團(tuán)隊(duì)規(guī)模超過(guò)5人的安全企業(yè)中，超過(guò)30%的企業(yè)將使用SOAR安全編排自動(dòng)化響應(yīng)方案”。今天就來(lái)介紹下，企業(yè)如何借助綠盟SOAR系統(tǒng)在三分鐘內(nèi)完成安全編排及自動(dòng)化響應(yīng)。

從安全事件處置流程看企業(yè)在安全運(yùn)營(yíng)中的痛點(diǎn)及訴求

在企業(yè)傳統(tǒng)的安全運(yùn)維及事件處置中，一般遵循以下流程：

表：傳統(tǒng)安全運(yùn)維流程

經(jīng)過(guò)以上的7步，一個(gè)信息安全事件的處置流程才算是結(jié)束。在該過(guò)程中，會(huì)有多個(gè)部門(mén)不同角色參與，處置流程較繁瑣，效率難以量化，不同事件的處置流程難以統(tǒng)一標(biāo)準(zhǔn)化。

同時(shí)企業(yè)在安全運(yùn)維中還常常面臨著以下痛點(diǎn)：事件告警太多，有效事件告警被淹沒(méi)，導(dǎo)致安全事件難以及時(shí)處置。企業(yè)側(cè)往往缺乏安全分析及處置的專(zhuān)業(yè)人員，安全分析經(jīng)驗(yàn)難固化，而且安全專(zhuān)家很容易陷于重復(fù)的安全處置工作中，以至很難發(fā)揮出其真正的價(jià)值。最重要的是，企業(yè)受到流程及人員的制約，傳統(tǒng)安全響應(yīng)處置的時(shí)間過(guò)長(zhǎng)。

因此企業(yè)在安全運(yùn)營(yíng)發(fā)展及演變中增加了以下的訴求:

提高信噪比：增加有效高保真告警，使有限的安全專(zhuān)家資源專(zhuān)注投入于真正需要危險(xiǎn)和問(wèn)題上。

降低MTTR: 固化安全處置流程，不斷積累運(yùn)營(yíng)經(jīng)驗(yàn)，持續(xù)運(yùn)營(yíng)，使得響應(yīng)處置時(shí)間不斷降低。

綠盟科技SOAR安全編排及自動(dòng)化響應(yīng)方案

圖：綠盟SOAR組件入口

ISOP智能安全運(yùn)營(yíng)平臺(tái)已經(jīng)融合了SOAR安全編排自動(dòng)化響應(yīng)功能，從綠盟ISOP智能安全運(yùn)營(yíng)中心運(yùn)維響應(yīng)-聯(lián)動(dòng)編排入口，即可使用安全編排及自動(dòng)化響應(yīng)處置功能，開(kāi)啟企業(yè)自動(dòng)化安全編排響應(yīng)之旅。

 圖：綠盟SOAR安全編排及自動(dòng)化響應(yīng)方案

ISOP中SOAR組件通過(guò)可視化編排將人、安全技術(shù)、流程進(jìn)行深度融合；通過(guò)人工運(yùn)維經(jīng)驗(yàn)固化而來(lái)的Playbook劇本串并聯(lián)構(gòu)建安全事件處置的工作流，自動(dòng)化觸發(fā)不同安全設(shè)備執(zhí)行響應(yīng)動(dòng)作，案例管理基于對(duì)安全事件上下文有更全面、端到端的理解，幫助企業(yè)將復(fù)雜的事件響應(yīng)過(guò)程和任務(wù)流轉(zhuǎn)變?yōu)橐恢碌?、可重?fù)的、可度量的和有效的工作流，變被動(dòng)應(yīng)急響應(yīng)為自動(dòng)化持續(xù)響應(yīng)。

五大核心助力企業(yè)實(shí)現(xiàn)安全編排響應(yīng)

1、全生命周期案例管理

  圖：案例管理

案例是SOAR組件中最基礎(chǔ)的功能，貫穿整個(gè)安全事件處置生命周期，包括信息安全事件研判所需的日志源、安全規(guī)則、情報(bào)取證及事件處置Playbook劇本的選擇及執(zhí)行。企業(yè)中告警安全事件只要能夠匹配到案例，即可完成自動(dòng)化響應(yīng)處置，案例對(duì)安全事件上下文有更全面、端到端的理解，有助于將復(fù)雜的事件響應(yīng)過(guò)程和任務(wù)轉(zhuǎn)換為一致的、可重復(fù)的、可度量的和有效的工作流。

在企業(yè)安全運(yùn)營(yíng)中，可將常見(jiàn)的安全事件與SOAR不同類(lèi)別的案例建立對(duì)應(yīng)關(guān)系，同一性質(zhì)的案例（如：挖礦、入侵、拒絕服務(wù)、勒索、釣魚(yú)、盜鏈、信息泄露等）可以選擇一類(lèi)相通的處置方法，案例的流程處理功能可以為不同性質(zhì)的案例指派不同的Playbook劇本，并監(jiān)督執(zhí)行完成企業(yè)安全事件自動(dòng)化閉環(huán)響應(yīng)處置。

2、可視化安全拖拽編排

圖：可視化案例編排1

 圖：可視化案例編排2

ISOP中SOAR組件內(nèi)置了一些常見(jiàn)攻擊對(duì)應(yīng)的案例，除此之外，企業(yè)可通過(guò)可視化拖拽編排方式快速創(chuàng)建案例及其對(duì)應(yīng)Playbook劇本，安全研判不同步驟間往往具有依賴(lài)關(guān)系，安全事件分析過(guò)程通過(guò)可視化拖拽方式，為安全處置提供上下文，避免傳統(tǒng)運(yùn)維要在不同頁(yè)面間進(jìn)行跳轉(zhuǎn)切換，降低安全事件處置復(fù)雜度。案例一旦創(chuàng)建成功啟用，后續(xù)命中案例的事件即可通過(guò)自動(dòng)化方式進(jìn)行處置，降低了不同部門(mén)間協(xié)同溝通、流程流轉(zhuǎn)消耗的成本。

  圖：案例處置流程跟蹤

案例可以幫助企業(yè)對(duì)一組相關(guān)的事件進(jìn)行流程化、持續(xù)化的調(diào)查分析與響應(yīng)處置跟蹤記錄，案例執(zhí)行過(guò)程中，安全事件每個(gè)中間過(guò)程執(zhí)行狀態(tài)（成功、執(zhí)行中、失?。┚稍诳梢暬幣帕鞒讨羞M(jìn)行展示，進(jìn)而實(shí)現(xiàn)端到端運(yùn)維流程可視化。

3、Playbook劇本自動(dòng)化處置

圖：劇本Playbook運(yùn)行狀態(tài)

Playbook劇本等同于安全工程師的工作流程，可驅(qū)動(dòng)與案例匹配事件的自動(dòng)化閉環(huán)安全處置，ISOP SOAR模塊可能會(huì)涉及到多個(gè)劇本并發(fā)執(zhí)行，不同劇本的運(yùn)行狀態(tài)可通過(guò)界面進(jìn)行全局概覽（正在執(zhí)行、執(zhí)行成功、失?。?。

企業(yè)中安全事件處置流程經(jīng)驗(yàn)可以固化為Playbook劇本，并應(yīng)用于自動(dòng)化響應(yīng)處置中，處置的動(dòng)作可包括設(shè)備封堵、工單發(fā)送、郵件通知等，這樣安全專(zhuān)家就可以從繁瑣重復(fù)的安全運(yùn)維中釋放出來(lái)。

4、插件化響應(yīng)設(shè)備集成

自動(dòng)化安全編排響應(yīng)“最后一公里路”封禁響應(yīng)一般由安全設(shè)備進(jìn)行執(zhí)行，綠盟ISOP一鍵封堵模塊前期已經(jīng)積累了大量的響應(yīng)處置設(shè)備，如防火墻、ADS、UTS、IDS、WAF等，響應(yīng)的動(dòng)作包括：會(huì)話(huà)封堵、IP封禁、域名黑名單、流量牽引清洗等，這些設(shè)備無(wú)需二次開(kāi)發(fā)，即可直接通過(guò)SOAR模塊實(shí)現(xiàn)即插即用。只需要根據(jù)第三方設(shè)備提供的北向管控接口開(kāi)發(fā)插件，就可完成第三方設(shè)備自動(dòng)化聯(lián)動(dòng)編排響應(yīng)。

接入到SOAR系統(tǒng)的安全設(shè)備，通過(guò)Playbook劇本調(diào)用，即可完成自動(dòng)化響應(yīng)處置，無(wú)需安全運(yùn)維人員登錄到獨(dú)立的安全設(shè)備上配置阻斷策略。

5、自動(dòng)化運(yùn)維大屏展示

  圖:自動(dòng)化運(yùn)維大屏展示

自動(dòng)化運(yùn)維大屏可從全局視角呈現(xiàn)企業(yè)自動(dòng)化響應(yīng)處置概況，如自動(dòng)響應(yīng)運(yùn)營(yíng)效率、案例事件統(tǒng)計(jì)信息、案例事件處置趨勢(shì)、劇本執(zhí)行信息等，將運(yùn)維指標(biāo)通過(guò)可度量可量化方式進(jìn)行展示。

綠盟SOAR系統(tǒng)為企業(yè)安全運(yùn)營(yíng)帶來(lái)的價(jià)值

1、降低安全事件處置時(shí)間MTTR

對(duì)于已知案例事件，通過(guò)案例匹配觸發(fā)機(jī)制，企業(yè)可在三分鐘內(nèi)完成安全編排及自動(dòng)化閉環(huán)響應(yīng)流程。

表：傳統(tǒng)運(yùn)維時(shí)效與自動(dòng)化運(yùn)維響應(yīng)處置時(shí)間對(duì)比

2、將安全運(yùn)維人員從重復(fù)工作中釋放出來(lái)

將安全專(zhuān)家的經(jīng)驗(yàn)固化成Playbook，實(shí)現(xiàn)已知攻擊分析、研判、處置全流程自動(dòng)化，這樣安全專(zhuān)家即可將精力投入到紅藍(lán)對(duì)抗、威脅狩獵、威脅建模、APT分析、漏洞挖掘等需要高級(jí)安全技能的工作場(chǎng)景，為企業(yè)安全運(yùn)維工作創(chuàng)造更高的價(jià)值。

3、安全處置流程標(biāo)準(zhǔn)化，降低部門(mén)間協(xié)同溝通成本

SOAR系統(tǒng)的精髓是不同威脅場(chǎng)景對(duì)應(yīng)的研判策略和處置策略的選擇，這也正是Playbook在企業(yè)攻防對(duì)抗競(jìng)爭(zhēng)中的核心價(jià)值體現(xiàn)之處，運(yùn)維流程的標(biāo)準(zhǔn)化是Playbook劇本固化的前提，可借助SOAR Playbooks生成為抓手，變繁雜不規(guī)矩的處置流程標(biāo)準(zhǔn)化，夯實(shí)企業(yè)信息安全運(yùn)營(yíng)流程標(biāo)準(zhǔn)化建設(shè)。

以上就是如何輕松完成企業(yè)安全編排響應(yīng)SOAR，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

當(dāng)前標(biāo)題：如何輕松完成企業(yè)安全編排響應(yīng)SOAR
網(wǎng)址分享：http://bm7419.com/article22/pcogcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、面包屑導(dǎo)航、品牌網(wǎng)站建設(shè)、動(dòng)態(tài)網(wǎng)站、網(wǎng)站收錄、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)