从无到有打造SOAR

【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

考虑购买安全编排、自动化与响应(SOAR)解决方案的公司企业，往往会担心自己现有的事件响应项目尚未成熟到可实现带自动化与编排功能的综合性平台的程度。如果几乎没有任何基础，从零起步似乎甚为艰难，尤其是团队中无人有事件响应或安全编排解决方案经验的时候。

虽然大家都不想仅仅是往低效过程中添加自动化就完事儿，但如果老方法本身已不够好，进一步巩固这种旧有的安全事件处理方式显然更不科学。

如果你想要改善公司安全运营，但不知道从何处着手，以下几步或许可以帮你准备好迁移到SOAR平台。

1. 盘点当前运营状况

认为自己不具备事件响应项目的公司各有各的道理。无论有没有SOAR或事件响应平台，每家公司都有些管理安全事件的方法，即便可能涉及很多即兴动作和临时过程。

准备实现SOAR平台的时候，可以花点时间与公司利益相关者谈谈，了解当前过程及这些过程的有效性(或无效性)。这其中应当包括梳理工具清单：

• IT和信息安全的现有基础设施有哪些?
• 有没有什么工具可供进行数据丰富操作?

一旦弄清楚了手头有哪些工具可用，你就可以将这些工具都映射进事件响应生命周期中，比如 NIST 800-61r2 标准中描述的那种，并识别出公司当前还缺些什么。

接下来，查看一下公司遵从的事件响应过程或手册。看看安全运营中心(SOC)内部是怎么协作的?又是怎么与IT和数据隐私组织等其他团队协作的?公司如何保持在事件响应过程中的法律合规与监管合规?公司团队是如何管理网络钓鱼或恶意软件之类当前常见安全事件的?

如果有可用的衡量标准，请仔细审查，找出运作良好的部分和需要改进的地方。比如说：

• 检测并响应安全警报耗时多久?
• 哪些活动占据了安全分析师太多时间?

如果没有正式指标可用，那就询问安全分析师和经理，让他们给出自己的评估。

2. 找出最适用于自己公司的功能，以及提供这些功能的平台

市场上有各种各样的SOAR平台，要收窄自己的选择面，不妨花点时间确认一下对自己而言最为重要的功能。想要首先自动化的过程是哪些?什么问题是你安全团队最为棘手的?存不存在重复发生的安全事件、数据孤岛或过程瓶颈?你的分析师可以帮你回答这些问题。

每个平台都有各自侧重的安全运营方面。这些功能大致可分为以下几类：

• 警报管理：帮助SOC分拣、评估并关闭出自SIEM和其他源系统的持续安全警报流。
• 分类：通过从威胁情报和历史事件记录等外部和内部源收集上下文信息，帮助分析师做出决策。
• 事件响应：包含战术手册、任务管理、链接分析等功能，支持有效且可重复的响应工作流。
• 报告与分析：包括自动化或安排报告、产生详细SOC指标，以及为使用该系统的不同用户角色定制仪表板的能力。
• 合规与跟踪：比如审计跟踪、保管链和通用合规报告模板。
• 案例管理：包含对调查人员与其他团队间协作的支持、相关事件的案例存储目录、有引导的调查工作流和证据管理。

3. 试着草拟一份战术手册

想要对如何运用SOAR平台有个具体感知，可以试着为你最重要的用例草拟一份战术手册。然后，指出你觉得可用自动化和编排来加以增强的步骤。

从供应商或行业机构处可以很容易获取在线战术手册样例，这些样例应能给你有关步骤上的参考。评估公司现有过程并问询公司分析师可以得到更有价值的信息，包括常见用例或重要用例。可以从你安全环境中最典型的用例开始应用，比如网络钓鱼、可疑数据泄露，或者恶意软件感染。

如果你没有任何正式的事件响应项目，那实现SOAR解决方案、事件响应平台或任意其他重要安全工具都会很困难。不过，只要遵循了上面描述的步骤，你就会对自身情况有个更好的认知，知道自己要走的路线和需要达到的效果。

【本文是51CTO专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文