企业打造高效SOC的六大SOAR用例
使用SOAR自动执行基础SOC工作流可以大大提高安全运营效率,改善企业安全态势。
随着数字资产价值以及IT基础设施的不断扩张,企业面临一个紧迫的问题:如何应对数量和种类不断增加的威胁?
根据HackerOne的“2022年黑客驱动的安全报告”,88%的受访道德黑客认为企业内部的攻击面正在增加。
许多企业开始尝试自动执行基础的安全运营中心(SOC)任务。通过自动化技术提高识别和缓解威胁的速度和敏捷性,同时减少所需的人力和精力。安全编排、自动化和响应(SOAR)正是专门用来提高网络安全工作流自动化水平的技术。
在SOC场景中,SOAR主要有三大功能:
- 安全编排。与SOC中的多个异构工具集(组织内部和外部)连接和协调,以实现更高效的威胁信息摄取、富化、监视和事件识别。
- 自动化。通过预定义的参数自动触发工作流、任务和警报分类,帮助SOC采取更主动的安全态势。
- 响应。加速对低风险事件的常规响应,并支持分析师通过单一视图来访问、查询和共享威胁情报。
SOAR工具的主要价值是帮助人类分析师大规模自动化处理繁复的任务,使分析师可以专注于更复杂的威胁。
以下是六个增强企业SOC安全分析的SOAR用例,可简化SOC流程并增强人类分析师的能力:
01、威胁情报协调
每天,SOAR平台都会摄取数十万个攻击指标(IOC)。这些指标来自内部和外部威胁情报源、恶意软件分析工具、端点检测和响应平台、SIEM系统、网络检测和响应工具、电子邮件收件箱、RSS源、监管机构和其他数据库。SOAR平台可以协调、聚合和显示来自这些工具的警报,并检测其中出现的可疑指标。
02、事件管理
有很多安全工具都能检测潜在的安全威胁,因此,分析师需要花费大量宝贵时间解析同一威胁(事件)的不同来源的数据。SOC中的SOAR能将所有数据整理到由多个相关事件组成的单个故事中,使事件经理能够更快识别和处理最重要的威胁,从而缩短检测和响应的总体平均时间。
03、漏洞管理
过去,SOC分析师依赖手动管理安全漏洞。通过实施SOAR,分析师可以自动执行多个SOC任务来处理、监控和(简单)响应大量漏洞。因为SOAR能关联多个安全工具的威胁数据,计算风险并相应地确定威胁的优先级。
04、自动富化和修复
SOAR平台能利用多个富化数据库或查询不同的威胁情报工具以获取上下文,加速IOC指标的富化流程。这使SOC分析师能够更准确、更高效地解析、验证、分类和响应事件。SOAR能更快地富化大量IP、URL和哈希等威胁信息,为分析师节省大量时间,而且不会损失查询深度。
05、威胁搜寻
除了摄取和富化威胁信息之外,SOAR平台对IOC指标的检测还是一种有效的主动威胁搜寻方式。威胁搜寻对于人类分析师来说是一项至关重要的任务,但由于威胁的范围不断扩大,这是一项耗时的任务。SOAR能通过添加数据集进行持续分析来帮助解决威胁信息的富化问题。此外,SOAR还能侦测恶意软件或可疑域名,并在关键节点引入人机交互决策来协助扩大威胁搜寻范围。
06、事件响应
自动化事件缓解和响应流程主要针对的是上游威胁,以降低下游成本。SOC中的SOAR能够处理对多种常见安全威胁(如网络钓鱼、恶意软件、DoS、Web入侵和勒索软件)的补救和响应。
根据威胁的性质,自动响应有多种形式,包括以下功能:
- 自动将指标添加到监视列表。
- 自动阻止恶意指标。
- 自动隔离恶意指标或受损端点。
- 基础设施硬件/软件的自动修补。
- 自动生成工单。
- 自动阻止可疑电子邮件或IP地址。
- 自动删除其他邮箱中的可疑电子邮件。
- 自动终止用户帐户。
- 自动触发防病毒扫描或安全合规性检查。
- 自动提醒特定分析师、员工、供应商、合作伙伴或客户。
SOAR的优势之一是跨大量安全拓扑结构的威胁信息协调,使人类分析师能够专注于更复杂的威胁,支持威胁情报的整个生命周期。从获取和富化到检测、分类、响应和遏制,SOC中的SOAR能帮助分析师获得更好的视野和更丰富的上下文信息。
不久的将来,SOAR将进一步减少对“机器到人类”编排的需求。就目前而言,SOAR系统仍然需要SecOps团队的介入(输入)来做出复杂的决策并启动自动化任务。随着SOAR系统中的AI变得越来越强大,以及SecOps团队对AI和自动化处理复杂决策任务越来越满意,SOAR平台将朝着自治的终极目标快速发展。
值得注意的是,SOAR不仅能自动化网络安全预案,还能优化它。SOAR不仅可以改善分析师的个人体验,还可以通过集中共享平台提高SOC团队在整个企业中的沟通能力。正确实施的SOAR用例将成为整个企业安全态势的基石。