信息化觀察網(wǎng)

安全運營領域SOAR技術，被那些需要分析大量警報的網(wǎng)絡安全部門視為救星。

但不幸的是，購買SOAR技術并不能“藥到病除”解決警報疲勞的問題。為了能夠將警報連接到自動劇本（Playbook），安全人員需要在SIEM中逐個查看用例，然后才能有效地將其與劇本關聯(lián)（這需要成熟的用例生命周期管理和用例框架）。為了實現(xiàn)最佳的安全自動化，你還需要考慮其他幾個上下文變量。

在上馬SOAR項目之前，用戶應當了解SOAR與傳統(tǒng)安全方案的重要區(qū)別：

1.首先要將SIEM用例類別、用例或SIEM規(guī)則映射到事件類別，然后再將這些類別映射到劇本。

2.三種劇本：

a.手動劇本（一系列手動任務）

b.半自動劇本（自動和手動子任務的混合）

c.全自動劇本（完全自動化）

3.四種類型的自動化：

a.防御性自動化（任何試圖防止威脅或風險的措施）

b.取證自動化（任何試圖獲取其他證據(jù)的措施）

c.進攻性自動化（任何主動調(diào)查資產(chǎn)的主動行動）

d.欺騙自動化（用于獲取或調(diào)試欺騙工具的任何工作）

4.三種不同的操作類別：

a.豐富（添加其他CMDB、CTI或環(huán)境數(shù)據(jù)）

b.升級（電子郵件、工單升級、chatops聊天運營通信）

c.緩解（更改設備配置）

下圖中，我們可以看到SIEM與SOAR的重要區(qū)別和關聯(lián)：

根據(jù)上面這個SIEM-SOC自動化架構，我們可以得出成功部署SOAR解決方案的基本要求和關鍵要素：

1.成功的SOAR自動化架構需要良好的基礎IT組織。

a.更新且準確的CMDB

b.網(wǎng)絡層次結構及其重要性

c.數(shù)據(jù)分類

d.應用重要性

e.用戶關鍵性

f.SLA票證分類

g.關鍵應用程序列表

h.清晰的安全事件故障單類別

i.安全事件管理流程

2.SOAR自動化的關鍵成功因素在于SIEM集成、用例生命周期管理和用例框架。

a.可與您的SIEM解決方案緊密集成的SOAR解決方案

i.從SIEM的警報中提取其他相關日志；

ii.將警報中的每個字段映射到SOAR案例字段；

iii.能夠將SIEM嚴重性級別映射到SOAR嚴重性級別；

iv.在升級和評估SOAR解決方案上的SLA性能時，SIEM警報時間戳變得尤為重要，請確保這些時間戳保持不變。

b.成熟的用例生命周期管理流程

i.在用例和日志源導入優(yōu)先級列表旁可附加其他“自動化集成優(yōu)先級列表”。

c.具有清晰結構的用例框架

i.支持映射用例類別級別、用例級別或特定于規(guī)則級別的劇本的命名約定

ii.具備清晰的用例類別，以將整個類別歸類為劇本，以實現(xiàn)高效自動化。

以下示例中，SPEED用例框架的用例類別和命名約定與SIEM—SOAR用例流程進行了映射，以幫助我們深入了解兩個系統(tǒng)之間的相互依賴性。

實施SOAR解決方案依賴于現(xiàn)有IT組織中的一系列成熟服務，而SOAR自動化項目的成功將在很大程度上取決于這些成熟度。具體來說，對于已經(jīng)擁有SIEM的企業(yè)來說，在上馬SOAR解決方案之前，需要確保SIEM的集成、用例生命周期管理和用例框架完全成熟。

通常很難找到一個組織，能夠做到全方位的完全成熟，但有一點極為重要，那就是能夠執(zhí)行自動API調(diào)用并獲取自動劇本所需的所有信息。

企業(yè)安全成熟度與SOAR之間的鴻溝，催生了新一代的云原生SIEM和SOAR解決方案，這些解決方案基于以API為中心的云體系結構，可以較為輕松地部署、升級和緩解企業(yè)環(huán)境中的安全問題。SIEM與SOAR目前面臨的問題，也為網(wǎng)絡安全智能方案（機器學習、自動化運營）提供了成長空間。因此，云計算和AI，將是SIEM和SOAR在安全運營環(huán)境中并存進化的兩條主要增長路徑。