什么是安全协调、自动化和响应(SOAR)?
安全协调、自动化和响应(SOAR)是指一个集成的、兼容的软件解决方案系统,它允许组织自动收集网络安全数据和事件响应,并在此过程中提高安全运营的效率。
在许多方面,SOAR 代表了安全信息和事件管理 (SIEM) 的演变。它整合了事件日志和来自第三方的数据,包括外部威胁情报、端点安全解决方案、漏洞扫描仪、行为分析和入侵检测。它还利用分析功能,为安全团队提供确定的调查路径和经过策划的警报,从而更高效、更精细地应对网络事件。
SOAR 的组成部分
1.安全协调
2.安全自动化
安全自动化是 SOAR 真正与众不同之处。通常情况下,对安全协调产生的大量数据进行摄取和分析需要大量的人工分析。然而,通过利用人工智能和机器学习,SOAR 解决方案可将大部分工作从人工手中解放出来。
通过利用 playbooks(本质上是预定义流程、响应和程序的集合),SOAR 可以自动执行许多任务,包括日志分析、警报优先级排序、用户访问管理和威胁检测。
3.安全响应
SOAR 的优势
SOAR 的主要优点如下:
- 更快、更有效的事件检测、管理和响应
- 更好、更准确的威胁信息
- 降低复杂性和管理费用
- 将人工分析人员从手工繁忙工作和低级威胁中解放出来,使他们能够完成更多工作
- 通过自动化实现可扩展性
- 通过标准化操作手册简化安全操作
- 集中、简化的威胁数据管理
- 改善 IT 团队之间的协作
- 事故后信息共享和报告更加便捷
- 整个组织的实时可见性
SOAR 能力
Gartner于 2015 年设立了 SOAR 这一术语。当时,它代表安全运营、分析和报告。 此后,该分析师将其更新为当前的定义,同时还规定 SOAR 解决方案必须:
支持漏洞修复,提供正规化的工作流程、报告和协作功能。整合安全事件响应平台,提供包括漏洞管理、工作流程、事件管理、案例管理、审计和日志记录功能以及报告在内的功能
支持企业如何计划、管理、跟踪和协调对安全事件的响应。集成安全协调和自动化功能,包括工作流自动化、集成、操作手册和操作手册管理、数据收集、日志分析和账户生命周期管理
支持工作流、流程、策略执行和报告的自动化和协调。整合威胁情报平台,包括聚合、分析、分发、可视化和上下文丰富化
SOAR 使用案例
SOAR 的潜在用例非常广泛。由于 SOAR 解决方案通常会集成多种不同的平台,因此它们可以实现这些工具所能实现的任何功能。尽管如此,SOAR还有 一些相对独特的用例值得一提:
- 在纷繁复杂的威胁环境中协调威胁情报
- 简化案件管理
- 漏洞管理、检测和缓解
- 自动风险管理和补救
- 主动猎取威胁
- 协调和优先处理警报
- 证书管理
- 先进的恶意软件检测和分析
从很多方面来看,SOAR 都是 SIEM 的进化版,两者有很多共同点。两者都旨在从多个来源收集和汇总数据,都旨在实现更有效、更简化的事件响应流程。有些人甚至开始交替使用这两个术语。
一些供应商已开始在其解决方案中加入类似 SOAR 的功能,这一事实使问题变得更加复杂。这种情况也并非仅限于 SIEM 供应商。多种安全解决方案,包括端点检测与响应(EDR)和扩展检测与响应(XDR),都在采用 SOAR。
尽管存在这些趋势,了解 SIEM 和 SOAR 之间的区别仍然非常重要,因为它们确实存在一些至关重要的区别。
首先是收集数据的范围。SIEM 解决方案会从各种内部来源收集情报,而 SOAR 工具则更进一步。它们整合了多个外部和第三方来源,在数据收集方面通常具有更强的实时性。
大大小小的企业都在与越来越多的设备作斗争,每台设备都增加了攻击面。与此同时,大多数企业都面临着网络安全技能不足和资源短缺的问题。对于中小型企业来说,网络安全人员配备尤其棘手。
作为一项以人为本、基于订阅的 24x7x365 XDR 托管服务、 CylanceGUARD®提供企业所需的专业知识和支持。CylanceGUARD 结合了 ® 所体现的全面专业知识。 BlackBerry® Cybersecurity Services与基于人工智能的端点保护 (EPP) 相结合,通过 CylancePROTECT®、持续验证和分析(通过 CylancePERSONA™进行持续验证和分析,以及通过 CylanceOPTICS®.简而言之,CylanceGUARD 为企业提供保护企业免受现代威胁所需的人员和技术。
