1、认识soar
SOAR的概念最初是Gartner在2015年提出的,指的是“Security Operations, Analytics and Reporting Stack”,即“安全运维分析与报告”。
随着安全技术与市场的演变,SOAR的定义也发生了变化。近些年,国内外安全厂商将重点都放在未知威胁检测上,但随着网络对抗的日益激烈,单纯提升检测能力已满足不了需求,客户需要的是集识别(Identify)、防御(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)于一体的安全防护系统,即“IPDRR”。在这样的背景下,2017年Gartner将SOAR重新定义为“Security Orchestration, Automation and Response”,即“安全编排自动化与响应”。
Gartner认为SOAR由三种技术融合而成,包括安全事件响应平台(SIRP)、安全编排与自动化(SOA)和威胁信息平台(TIP)。SOAR影响IPDRR的多个环节,但主要聚焦在RR(响应和恢复)阶段。
总的来说,SOAR 是一系列技术的合集,它能够帮助企业和组织收集安全运维团队检测到的各种信息,并对这些信息进行事件分析和告警分诊。然后在剧本(Playbook)的指引下,利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。
市场
随着全球安全产业的发展,SOAR在市场上逐步走向成熟,SOAR更多是作为一种能力被融入到其他安全产品之中,例如安全运营中心(SOC)、安全信息和事件管理(SIEM)、托管检测和响应(MDR)等。在迅速成长的MDR中,SOAR就是一个关键的要素。而SIEM厂商一直通过收购或自建的方式构建SOAR,以提升对事件的响应能力。独立的SOAR产品也有一定市场空间,相对于内置的SOAR,客户更看重其灵活性和中立性。
SOAR的客户价值
● 提升安全运营效率以及事件闭环率
通过编排,SOAR将调查取证、处置、通知等多个环节整合在一个工作流里,自动化调度运行,减少了运营人员在不同工具之间来回切换的消耗。面对日益增多的威胁,SOAR的自动化能力有助于提升整体安全运营效率。
● 积累安全运营经验
通过剧本编排,可以将威胁处置的过程转变为工作流并记录保存,借此实现安全运营经验的积累和固化。案例集是对历史处置的归纳及特征补充,可供安全专家参考分析。
● 提升整合能力
SOAR能够把环境中现存的安全产品整合在一起,实现人机、机机之间的有效协作。SOAR能够更充分地使用威胁信息系统,使其发挥更大的价值。
● 提升需求满足敏捷度
在硬编码模式下,客户新业务的需求往往要依赖版本升级才能够实现, 在内部部署(OP)场景下版本迭代周期长,客户满意度难以得到保障。而SOAR与生俱来的低代码编排能力赋予了系统开放性的特征,安全运营团队很容易就能实现工作流创建和改进,帮助客户实现需求变化敏捷落地。
此外,SOAR的作用在安全托管服务中体现的尤为明显,因为它可以显著提升威胁处置的速度和一致性,从而提升服务级别协议(SLA)规定的服务水平。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· 【.NET】调用本地 Deepseek 模型
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库