企業打造高效SOC的六大SOAR用例

使用SOAR自動執行基礎SOC工作流可以大大提高安全運營效率，改善企業安全態勢。

隨著數字資產價值以及IT基礎設施的不斷擴張，企業面臨一個緊迫的問題：如何應對數量和種類不斷增加的威脅？

根據HackerOne的“2022年黑客驅動的安全報告”，88%的受訪道德黑客認為企業內部的攻擊面正在增加。

許多企業開始嘗試自動執行基礎的安全運營中心（SOC）任務。通過自動化技術提高識別和緩解威脅的速度和敏捷性，同時減少所需的人力和精力。安全編排、自動化和響應（SOAR）正是專門用來提高網絡安全工作流自動化水平的技術。

在SOC場景中，SOAR主要有三大功能：

• 安全編排。與SOC中的多個異構工具集（組織內部和外部）連接和協調，以實現更高效的威脅信息攝取、富化、監視和事件識別。
• 自動化。通過預定義的參數自動觸發工作流、任務和警報分類，幫助SOC采取更主動的安全態勢。
• 響應。加速對低風險事件的常規響應，并支持分析師通過單一視圖來訪問、查詢和共享威脅情報。

SOAR工具的主要價值是幫助人類分析師大規模自動化處理繁復的任務，使分析師可以專注于更復雜的威脅。

以下是六個增強企業SOC安全分析的SOAR用例，可簡化SOC流程并增強人類分析師的能力：

威脅情報協調

每天，SOAR平臺都會攝取數十萬個攻擊指標（IOC）。這些指標來自內部和外部威脅情報源、惡意軟件分析工具、端點檢測和響應平臺、SIEM系統、網絡檢測和響應工具、電子郵件收件箱、RSS源、監管機構和其他數據庫。SOAR平臺可以協調、聚合和顯示來自這些工具的警報，并檢測其中出現的可疑指標。

事件管理

有很多安全工具都能檢測潛在的安全威脅，因此，分析師需要花費大量寶貴時間解析同一威脅（事件）的不同來源的數據。SOC中的SOAR能將所有數據整理到由多個相關事件組成的單個故事中，使事件經理能夠更快識別和處理最重要的威脅，從而縮短檢測和響應的總體平均時間。

漏洞管理

過去，SOC分析師依賴手動管理安全漏洞。通過實施SOAR，分析師可以自動執行多個SOC任務來處理、監控和（簡單）響應大量漏洞。因為SOAR能關聯多個安全工具的威脅數據，計算風險并相應地確定威脅的優先級。

自動富化和修復

SOAR平臺能利用多個富化數據庫或查詢不同的威脅情報工具以獲取上下文，加速IOC指標的富化流程。這使SOC分析師能夠更準確、更高效地解析、驗證、分類和響應事件。SOAR能更快地富化大量IP、URL和哈希等威脅信息，為分析師節省大量時間，而且不會損失查詢深度。

威脅搜尋

除了攝取和富化威脅信息之外，SOAR平臺對IOC指標的檢測還是一種有效的主動威脅搜尋方式。威脅搜尋對于人類分析師來說是一項至關重要的任務，但由于威脅的范圍不斷擴大，這是一項耗時的任務。SOAR能通過添加數據集進行持續分析來幫助解決威脅信息的富化問題。此外，SOAR還能偵測惡意軟件或可疑域名，并在關鍵節點引入人機交互決策來協助擴大威脅搜尋范圍。

事件響應

自動化事件緩解和響應流程主要針對的是上游威脅，以降低下游成本。SOC中的SOAR能夠處理對多種常見安全威脅（如網絡釣魚、惡意軟件、DoS、Web入侵和勒索軟件）的補救和響應。

根據威脅的性質，自動響應有多種形式，包括以下功能：

• 自動將指標添加到監視列表。
• 自動阻止惡意指標。
• 自動隔離惡意指標或受損端點。
• 基礎設施硬件/軟件的自動修補。
• 自動生成工單。
• 自動阻止可疑電子郵件或IP地址。
• 自動刪除其他郵箱中的可疑電子郵件。
• 自動終止用戶帳戶。
• 自動觸發防病毒掃描或安全合規性檢查。
• 自動提醒特定分析師、員工、供應商、合作伙伴或客戶。

SOAR的優勢之一是跨大量安全拓撲結構的威脅信息協調，使人類分析師能夠專注于更復雜的威脅，支持威脅情報的整個生命周期。從獲取和富化到檢測、分類、響應和遏制，SOC中的SOAR能幫助分析師獲得更好的視野和更豐富的上下文信息。

不久的將來，SOAR將進一步減少對“機器到人類”編排的需求。就目前而言，SOAR系統仍然需要SecOps團隊的介入（輸入）來做出復雜的決策并啟動自動化任務。隨著SOAR系統中的AI變得越來越強大，以及SecOps團隊對AI和自動化處理復雜決策任務越來越滿意，SOAR平臺將朝著自治的終極目標快速發展。

值得注意的是，SOAR不僅能自動化網絡安全預案，還能優化它。SOAR不僅可以改善分析師的個人體驗，還可以通過集中共享平臺提高SOC團隊在整個企業中的溝通能力。正確實施的SOAR用例將成為整個企業安全態勢的基石。