1.前言

? ? ? ?Security Orchestration, Automation and Response（SOAR）安全編排和自動化響應,是Gartner2017年提出的新概念。Gartner預計到2019年，大概30%的大中型企業會進行SOAR平臺的建設。

?

2.??概述

? ? ? ?目前來說，一般大中型企業都已經建立了相對比較完備的安全運營中心SOC，為什么又要提出SOAR的概念呢。主要是因為在SOC的運營過程中，面臨以下的一些問題：

• 大量的安全事件，都需要安全分析師的介入，運營成本高，企業需要用更少的錢，來做更多的事。
• 安全分析師的分析時間，經常被浪費在一些低級別或無關緊要的事件分析上。
• 傳統的安全響應執行過程，響應時間長，人工介入多，相關處理過程難以定量評估。
• 人員流動，帶來運營過程的變化和運營質量的變化，比如老人離職，新人進來需要培訓，需要時間和經驗的積累。

? ? ? ?SOAR平臺主要就是解決這些問題，其核心概念主要包括：

• Orchestration，編排

? ? ? ? 與過去相比，現在的安全運營中心需要整合大量的系統，運維的復雜度也大大增加，事件的響應與處理需要應對各種各樣的復雜的情況。要滿足這些需求，必然需要的提供豐富的事件響應與處理編排能力，可以進行流程定制，流程執行，流程監控，結果的驗證與評估，流程再造。

• Automation，自動化

? ? ? ?當前安全分析師在解決安全問題時所需要的數據，分析的方法與過去相比，其工作量和內容都大大增加。數據是海量的數據，大量的數據需要使用自動化方式去處理。既可以節省時間，人力，成本，也避免人在處理大量數據的過程中帶來的誤差或失誤。

• ?合理的KPI評估體系

? ? ? ?系統提供編排與自動化執行能力，也需要對流程和自動化執行的結果進行有效的評估，需要提供合理的評估方法，可量化的評估指標，根據評估結果，才可以進行流程再造，優化我們的編排內容，帶來整個安全運營中心的效率提升。

?

3.SOAR平臺基本功能需求

? ? ? ?針對SOC運營的一些問題，我們可以看出SOAR平臺需要具備的一些基本功能：

? ? ? ?1.系統能夠對接主流的安全管理平臺的管理數據，可以對安全事件進行二次分析和聚合。

? ? ? ?2.具備流程化自動執行功能，能夠依據場景或案例，制定執行計劃和執行腳本，并具備自動、半自動和手動執行的能力。

? ? ? ?3.對執行效果可以提供合適的KPI進行評估，反饋，在修改的能力。

? ? ? ?4.執行過程能夠整合既有的知識庫，經驗。

? ? ? ?5.和威脅情報對接能力，多協議支持。

? ? ? ?6.可定制的可視化分析和展現，可以定制Dashboard展現內容。

? ? ? ?7.內容分享，溝通和交互，充分利用微信，郵件等既有溝通平臺，提供反應速度。

?

4.SOAR和SOC的關系。

? ? ? ?有一部分人認為SOAR的功能是包含在SOC中的，比如現在國內的一些安全廠家，也都在SOC中添加事件處理，調查，響應功能。但是專業的事還是需要專業的軟件來執行，SOAR更偏重于安全分析師所做的工作，側重于過程，比如把對于一封釣魚郵件的分析，通過程序自動化的執行。而且一套好的SOAR平臺，是能夠整合不同廠家的相關產品，不管是SIEM，SOC，還是TI相關產品。SOC產品更偏重于事件的采集，分析與告警，響應在SOC中更多的是手動的的操作。

總結

以上是生活随笔為你收集整理的【转】SOAR平台初探（一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。