企业安全运营自动化（SOAR）应用指南 发布

企业安全运营自动化（SOAR）应用指南

一、报告关键发现及SOAR内涵二、SOAR能力构建三、产品选型四、案例及厂商方案1报告关键发现及SOAR内涵ONE报告关键发现SOAR已经从观望期转为试水期，2020年下半年开始出现SOAR的实际应用案例。现阶段使用SOAR解决方案的企业几乎均为大型企业，自身安全运营已经达到一定水平。SOAR的技术路线相对清晰，落地的主要难点在于是否能够满足用户的复杂多变场景。智能化在现有SOAR产品的应用还不够完善，未来会具有更深应用。大部分组织在安全编排与自动化响应方面均有需求。SOAR定义安全牛结合国内外安全厂商发展现状，综合调研机构和对使用者及安全厂商的调研，对SOAR进行定义：

“SOAR是一种针对安全运营“响应”阶段的解决方案，它从多方的数据来源获得输入，通过剧本编排能力将组织的安全运营流程、规程结合到自身的工作流当中，组合各种复杂性研判流程和处理平台进行协调和决策，根据决策结果自动化执行剧本操作流程，联动多种响应设备进行处置活动。”告SOAR关键技术1234安全剧本编排不论是自动化的编排，还是人工的编排，都需要通过剧本(playbook)来进行实现。安全能力集成对接数据接入，安全设备对接，威胁情报、脆弱性评估系统接入，用户自研脚本运行。响应复盘管理

告警管理、工单管理、案例管理安全流程自动化自动化告警分诊、自动化安全响应、自动化剧本执行、自动化案例处置、自动化服务调用。2SOAR的能力构建TWO效益及需求评估

安全收益评估自身能力评估分析自身有哪些业务上的需求，哪些部分可以由SOAR解决。部署SOAR平台也需要具有相应的能力，这样才能让SOAR具有实际应用价值。业务需求评估分析部署SOAR后的安全收益，分析是否需要部署SOAR产品。资源投入评估分析部署SOAR平台需要投入的资源，主要有“人力”和“成本”两个方面。SOAR平台建设S

O

A

R人员侧：实现高效的协同建立高效的协同机制，使整个安全事件处理过程更加清晰。对于人员配合而言，SOAR提供的是安全团队成员间的无缝协作和信息共享。流程侧：可视化流程编排构建剧本，通过编排将分析过程中各种复杂性分析流程和处理平台进行组合，实现技术、流程、人员的无缝编排。技术侧：开放式接入框架数据集成：具有在数据输入方面的双向性，即，推送数据和提取数据；能力集成：通过灵活和可定制化的方式充分利用对接产品的所有能力；SOAR应用场景恶意事件响应业务管理SOAR可以针对网络钓鱼、端点恶意软件检测、异常位置登录等场景设置剧本进行响应。在业务管理方面，SSL证书管理、脆弱行管理、定期巡检、数据备份均可以使用SOAR改进。应急演练通过SOAR与网安全设备对接，对全网不同出口的安全设备下发封堵任务，实现对攻击IP的快速封禁，缩短攻击者横向蔓延、提权等动作的时间。SOAR建设挑战1)多品牌、型号产品对接数据来源方面需要与现有的SIEM、SOC类产品对接，响应方面需要与安全设备、网络设备对接，还包含对用户自研系统、云平台对接。是否能够还原真实的攻击是由数据分析实现的，不论这个分析能力是由用户自身的系统提供还是SOAR系统提供。2)数据分析能力SOAR3)调试时间各类设备接入、是否接入二次均会影响项目进度，二次开发则会增加组织的成本。3产品选型THREE能力评估对自身的安全运营能力进行评估对照SOAR产品能力划分分析结果安全运营能力SOAR能力能力层级划分安全运营能力划分：主要针对自身安全运营能力分析，主要分为初始级，最小合规级、稳妥合规级、警觉级、韧性级。SOAR能力划分：Level1：半人工半自动化Level2：有效的安全编排与自动化响应Level3：智能化的编排及自动化响应根据自身安全运营能力对应适当的SOAR能力。安全牛认为，安全运营能力处于初始级、最小合规级的组织是不需要SOAR的。能力对应能力对应关系根据安全牛调研，国内大部分的企事业单位处在level3阶段，已经具备一定的安全基础设施和安全运营能力，但安全运营工作中很大的一部分工作由人力完成，但也具有了向自动化响应发展的表现，很多单位运营人员会自行开发脚本辅助安全运营工作，自动化运营将是他们下一步安全运营需要提高的方向。处在level4及level5层级的企业是具有对安全编排及自动化响应具有强烈需求的组织，同时他们自身的安全运营能力的储备也能够使SOAR产品实际落地使用。4案例及代表性厂商方案FOUR案例行业分析某大型电网有限公司某政府单位某数字技术企业某能源集团数据中台安全运营系统某大型电子信息产业集团某股份制商业银行某综合类证券公司SOAR案例案例背景解决方案主要包含组织的现状，亟需解决的问题，安全运营的目标等。安全牛针对应用案例进行的总结。用户价值案例总结主要为厂商针对用户的问题提出的SOAR解决方案。用户在使用SOAR解决方案后，安全运营工作有哪些改进。代表性厂商SOAR未来趋势技术趋势人工智能技术将在SOAR产品中进一步应用，使用机器学习、自然语言处理等技术实现对处置流程的自动优化建议，自动生成剧本等。产品形式