三分钟打造企业安全编排响应(SOAR)

三分钟打造企业安全编排响应(SOAR)

温楠晨 2024-12-22 未命名 389 次浏览 0个评论
三分钟打造企业安全编排响应(SOAR)

传统安全运维及事件处置流程通常包含多个环节,如事件检测、确认、响应、处置、恢复等,这涉及多个部门不同角色的参与,流程繁琐且效率难以量化。同时,企业面临的安全运维痛点包括:事件告警信息繁杂,有效事件告警易被淹没;缺乏专业安全分析及处置人员,安全分析经验难以固化;安全专家易陷入重复工作,难以发挥其真正价值;传统安全响应处置时间过长。

针对这些痛点,企业在安全运营发展中提出了提升信噪比、降低MTTR(平均故障恢复时间)等诉求,希望通过固化安全处置流程,减少处置时间,实现响应处置的自动化和持续化。

三分钟打造企业安全编排响应(SOAR)

图:绿盟SOAR组件入口

绿盟ISOP智能安全运营平台已整合SOAR功能,从绿盟ISOP智能安全运营中心运维响应-联动编排入口,即可使用安全编排及自动化响应处置功能,开启企业自动化安全编排响应之旅。

三分钟打造企业安全编排响应(SOAR)

图:绿盟SOAR安全编排及自动化响应方案

ISOP中的SOAR组件通过可视化编排将人、安全技术、流程深度融合;通过固化的Playbook剧本构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作,实现持续响应。

三分钟打造企业安全编排响应(SOAR)

1. 全生命周期案例管理

三分钟打造企业安全编排响应(SOAR)

图:案例管理

案例管理功能贯穿整个安全事件处置生命周期,包括信息安全事件研判所需的日志源、安全规则、情报取证及事件处置Playbook剧本的选择及执行。企业可将常见安全事件与SOAR不同类别的案例建立对应关系,同一性质的事件可选择相通的处置方法,案例的流程处理功能可以为不同性质的事件指派不同的Playbook剧本,并监督执行完成企业安全事件自动化闭环响应处置。

2. 可视化安全拖拽编排

三分钟打造企业安全编排响应(SOAR)

图:可视化案例编排1

三分钟打造企业安全编排响应(SOAR)

图:可视化案例编排2

通过可视化拖拽编排方式,企业可以快速创建案例及其对应Playbook剧本,避免传统运维中不同页面间的跳转,降低安全事件处置复杂度。案例执行过程中,每个中间过程执行状态均可在可视化编排流程中进行展示,实现端到端运维流程可视化。

3. Playbook剧本自动化处置

三分钟打造企业安全编排响应(SOAR)

图:剧本Playbook运行状态

Playbook剧本等同于安全工程师的工作流程,可驱动与案例匹配事件的自动化闭环安全处置。不同剧本的运行状态可通过界面进行全局概览,确保安全事件处置的顺利进行。

4. 插件化响应设备集成

通过绿盟ISOP一键封堵模块,企业可以接入多种安全设备,如防火墙、IDS、WAF等,并通过SOAR模块实现即插即用。只需开发相应的插件,即可完成第三方设备的自动化联动编排响应。

5. 自动化运维大屏展示

三分钟打造企业安全编排响应(SOAR)

图:自动化运维大屏展示

自动化运维大屏展示企业自动化响应处置概况,如自动响应运营效率、案例事件统计信息、案例事件处置趋势、剧本执行信息等,将运维指标以可度量可量化方式呈现。

1. 降低安全事件处置时间MTTR

对于已知案例事件,企业可通过案例匹配触发机制在三分钟内完成安全编排及自动化闭环响应流程。

2. 释放安全运维人员

通过固化安全专家的经验为Playbook,实现已知攻击分析、研判、处置全流程自动化,从而释放安全专家用于更高价值的工作。

3. 标准化安全处置流程

SOAR系统的核心在于不同威胁场景对应的研判策略和处置策略的选择,运维流程的标准化有助于提升企业信息安全运营流程的标准化建设。

综上所述,绿盟智能安全运营平台(ISOP)已有效支撑了企业安全运营的多个场景。SOAR模块的融合为企业安全运营提供了一种全新的模式,通过将人、技术、流程深度融合,实现了安全编排及自动化响应处置,提高了企业安全运维效率,降低了运营成本,助力企业在安全建设中迅速转型。

参考文档:Gartner 2019 Market Guide for Security Orchestration, Automation and Response Solutions

转载请注明来自湖南百里醇油茶科技发展有限公司,本文标题:《三分钟打造企业安全编排响应(SOAR)》

百度分享代码,如果开启HTTPS请参考李洋个人博客
每一天,每一秒,你所做的决定都会改变你的人生!

发表评论

快捷回复:

验证码

评论列表 (暂无评论,389人围观)参与讨论

还没有评论,来说两句吧...

Top