SOAR知识积累
什么是SOAR
SOAR(Security Orchestration, Automation, and Response,安全编排、自动化和响应)
SOAR是一系列技术的合集,它能够帮助企业收集安全运营团队监控到的各种信息(包括各种安全系统产生的告警),并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下,利用人机结合的方式帮助安全运营人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业能够对事件分析与响应流程进行形式化的描述。SOAR是一个将企业众多的安全运营工具集成在一起的平台,采用事件响应预案让众多安全运营工具自动化执行
SIEM和SOAR有什么相同和不同
与新一代SIEM相同的是,SOAR旨在解决传统SIEM所产生告警爆炸以及企业缺乏网络安全专业技能人才的挑战,从而帮助企业有效地部署SIEM。SOAR可以根据事先的预案(Playbook)进行编排和自动化,能够有效地简化安全运营人员的手工作业,消除了MTTR或MTTD循环中的人为错误,减少了单调繁重的威胁分析过程。
与新一代SIEM不同的是,SOAR是一个将企业众多的安全运营工具集成在一起的平台,采用事件响应预案让众多安全运营工具自动化执行,当然也可以通过安全运营人员的单击操作来执行。此外,SOAR还为案例管理提供了一个的专用问题跟踪系统(Issue Tracking System,ITS)以用于编纂安全事件分析和响应的工作流程。
对比新一代SIEM和SOAR的最佳方法是将SIEM和SOAR分别视作记录系统和行动系统。这样比较并没有消除对SIEM的需求,而新一代SIEM与SOAR结合时,SIEM在减少MTTD和MTTR方面更有效,解决了安全运营人员短缺的挑战,并降低了SOC中常见的告警爆炸问题。