安全编排、自动化和响应 (SOAR) 技术有助于在单个平台内协调、执行和自动化各种人员和工具之间的任务。这使组织不仅可以快速响应网络安全攻击，还可以观察、了解和预防未来的事件，从而改善其整体安全状况。

Gartner 定义的综合 SOAR 产品旨在在三个主要软件功能下运行：威胁和漏洞管理、安全事件响应和安全操作自动化。

威胁和漏洞管理（编排）涵盖有助于修正网络威胁的技术，而安全运营自动化（自动化）涉及在运营中实现自动化和编排的技术。

SOAR 摄取警报数据，然后这些警报触发自动化/协调响应工作流或任务的剧本。然后，通过结合使用人和机器学习，组织能够分析这些多样化的数据，以便理解针对任何未来威胁的自动事件响应操作并确定其优先级，从而创建一种更高效、更有效的方法来处理网络安全和改进安全操作。

图 1：用于恶意软件分析的示例 SOAR 剧本

什么是 SIEM？

SIEM 代表安全信息和事件管理。它是一组服务和工具，可帮助安全团队或安全运营中心 (SOC) 收集和分析安全数据，以及创建策略和设计通知。SIEM 系统使用以下内容来管理安全信息和事件：数据收集、整合和关联，以及一旦单个事件或事件安排触发 SIEM 规则时的通知。组织还设置了符合其特定安全问题的规则、报告、警报和仪表板等策略。

SIEM 工具使 IT 团队能够：

• 使用事件日志管理来整合来自多个来源的数据
• 实时获得组织范围内的可见性
• 使用 if-then 规则关联从日志中收集的安全事件，以有效地将可操作的情报添加到数据中
• 使用可通过仪表板管理的自动事件通知

SIEM 结合了安全信息和安全事件的管理。这是通过实时监控和系统管理员通知来完成的。

SOAR与 SIEM

许多人将 SOAR 和 SIEM 定义为类似产品，因为它们都可以检测安全问题并收集有关问题性质的数据。他们还处理安全人员可以用来解决问题的通知。但是，它们之间存在显着差异。

SOAR 使用类似于 SIEM 的集中式平台收集数据并向安全团队发出警报，但 SIEM 仅向安全分析师发送警报。然而，SOAR 安全通过使用自动化剧本或工作流程和人工智能 (AI) 来学习模式行为，从而增加了对调查路径的自动化和响应，从而使其能够在类似威胁发生之前预测它们。因为 SOAR（例如 Cortex XSOAR）通常从 SIEM 未涵盖的来源（例如漏洞扫描结果、云安全警报和 IoT 设备警报）中摄取警报，所以删除重复警报更容易，事实上，这是一个典型的使用案例SOAR 和 SIEM 集成。这减少了手动处理警报所需的时间，使 IT 安全人员更容易检测和解决威胁。

什么是安全编排和自动化？

安全自动化是基于机器的安全操作执行，具有检测、调查和补救网络威胁的能力，无需人工干预。它为 SOC 团队完成了大部分死记硬背的工作，因此他们不再需要清除并手动处理每个警报。安全自动化可以：

• 检测环境中的威胁。
• 对潜在威胁进行分类。
• 确定是否对事件采取措施。
• 遏制并解决问题。

所有这些都可以在几秒钟内发生，无需人工参与。安全分析师不必遵循步骤、说明和决策工作流程来调查事件并确定它是否是合法事件。重复的、耗时的操作不再需要他们去做，这样他们就可以专注于更重要的、增值的工作。

安全编排是一系列相互依赖的安全行动的基于机器的协调，包括事件调查、响应和最终解决，所有这些都在一个复杂的基础设施中进行。它确保您的所有安全和非安全工具协同工作，无论是跨产品和工作流自动执行任务，还是手动提醒代理需要更多关注的重要事件。

安全编排可以：

• 围绕安全事件提供更好的上下文。安全编排工具聚合来自不同来源的数据以提供更深入的洞察力。因此，您可以全面了解整个环境。
• 允许进行更深入、更有意义的调查。安全分析师可以停止管理警报并开始调查这些事件发生的原因。此外，安全编排工具通常提供高度交互和直观的仪表板、图表和时间线；这些视觉效果在调查过程中非常有用。
• 改善协作。其他各方，包括不同层级的分析师、经理、CTO 和 C-Suite 高管、法律团队和 HR，也可能需要参与某些类型的安全事件。安全编排可以将所有必要的数据放在每个人的指尖，使协作、问题解决和解决更加有效。

最终，安全编排增加了您的防御集成，使您的安全团队能够自动化复杂的流程，并最大限度地提高您从安全人员、流程和工具中获得的价值。

自动化和编排有什么区别？

虽然安全自动化和安全编排是经常互换使用的术语，但这两个平台扮演着截然不同的角色：

• 安全自动化减少了检测和响应重复性事件和误报所需的时间，因此警报不会长时间未解决：腾出安全分析师的时间来专注于战略任务，例如调查研究。每个自动化的剧本都通过规定的行动方案解决了一个已知场景。
• 安全编排允许您轻松共享信息，使多个工具能够以一个组的形式响应事件，即使数据分布在大型网络和多个系统或设备中：安全编排使用多个自动化任务来执行完整、复杂的流程或工作流。SOAR 解决方案的优势在于其预构建集成的广度，这些集成可加快和简化安全操作用例的部署。

安全自动化就是为了简化安全操作并使安全操作更高效地运行，因为它处理一系列单一任务，而安全编排连接所有不同的安全工具，以便它们相互补充，从一开始就创建一个快速高效的工作流程结束。它们在配对时工作得最好，当安全组同时采用这两种方法时，它们可以最大限度地提高效率和生产力。

什么是威胁情报管理 (TIM)？

结合安全编排、自动化和响应，SOAR 平台还可能包括添加威胁情报管理或TIM。威胁情报管理 (TIM) 使组织能够更好地了解全球威胁形势、预测攻击者的下一步行动并迅速采取行动阻止攻击。

威胁情报和威胁情报管理之间存在显着差异。虽然威胁情报是有关威胁的数据和信息，但威胁情报管理是收集、规范化、丰富和操作有关潜在攻击者及其意图、动机和能力的数据。这些信息可以帮助组织做出更快、更明智的安全决策，从而更好地应对网络威胁。

为什么 SOAR 很重要？

在一个不断发展和日益数字化的世界中，当今的组织在网络安全方面面临着众多挑战。存在的威胁越复杂和恶意越多，公司就越需要开发一种高效且有效的方法来应对其安全运营的未来。由于这种需求，SOAR 正在彻底改变安全运营团队管理、分析和响应警报和威胁的方式。

今天的安全运营团队的任务是每天手动处理数千个警报，为错误和严重的运营效率低下留下空间，更不用说效率低下、孤立和过时的安全工具，以及严重缺乏合格的网络安全人才.

许多安全运营团队都在努力将来自不同系统的噪音联系起来，导致太多容易出错的手动流程，并且缺乏解决所有这些问题的高技能人才。

随着威胁和警报数量的增加以及解决所有这些问题的资源的缺乏，分析师不仅被迫决定哪些警报需要认真对待和采取行动，哪些可以忽略，而且他们经常工作过度，以至于有可能错过真正的警报。当他们试图响应威胁和不良代理时，最终会犯大量错误。

因此，组织必须拥有系统，例如 SOAR 平台，使他们能够系统地编排和自动化他们的警报和响应过程。通过过滤掉占用最多时间、精力和资源的日常任务，安全运营团队在处理和调查事件时更加有效和高效，从而能够极大地改善组织的整体安全状况。

SOAR 使您能够：

• 集成安全、IT 运营和威胁情报工具。您可以连接所有不同的安全解决方案——甚至是来自不同供应商的工具——以实现更全面的数据收集和分析。安全团队可以停止使用各种不同的控制台和工具。
• 在一个地方查看所有内容。您的安全团队可以访问单个控制台，该控制台提供调查和补救事件所需的所有信息。安全团队可以到一个地方访问他们需要的信息。
• 加快事件响应速度。事实证明，SOAR 可以减少平均检测时间(MTTD) 和平均响应时间(MTTR)。由于许多操作是自动化的，因此可以立即自动处理大部分事件。
• 防止耗时的操作。SOAR 大大减少了占用安全分析师时间的误报、重复性任务和手动流程。
• 获得更好的情报。SOAR 解决方案聚合和验证来自威胁情报平台、防火墙、入侵检测系统、SIEM 和其他技术的数据，为您的安全团队提供更深入的洞察力和上下文。这使得解决问题和改进实践变得更加容易。当问题出现时，分析师能够更好地进行更深入和更广泛的调查。
• 改进报告和沟通。将所有安全运营活动汇总在一个地方并显示在直观的仪表板中，利益相关者可以收到他们需要的所有信息，包括帮助他们确定如何改进工作流程和缩短响应时间的清晰指标。
• 提高决策能力。SOAR 平台旨在通过提供诸如预建剧本、从头开始构建剧本的拖放功能和自动警报优先级等功能，使用户友好，即使对于经验不足的安全分析师也是如此。此外，SOAR 工具可以收集数据并提供洞察力，使分析师更容易评估事件并采取正确的行动来修复它们。

拥有和使用 SOAR 的价值

公司和组织发现 SOAR 的价值是因为它将所有类型的安全事件的影响降至最低，同时最大限度地提高现有安全投资的价值，并降低法律责任和整体业务停机的风险。SOAR 帮助公司解决和克服他们的安全挑战，使他们能够：

• 统一他们现有的安全系统并集中收集数据以获得全面的可见性，从而大大提高公司的安全状况以及运营效率和生产力。
• 自动执行重复的手动任务并管理安全事件生命周期的所有方面，从而提高分析师的工作效率并使分析师能够专注于提高安全性，而不是执行手动任务。
• 定义事件分析和响应程序，并利用安全手册以一致、透明和记录的方式对响应流程进行优先级排序、标准化和扩展。
• 参与更快的事件响应，因为分析师能够快速准确地识别事件严重性级别并将其分配给安全警报，减少警报并缓解警报疲劳。
• 简化流程和操作，以主动和被动地更好地识别和管理潜在漏洞。
• 通过将每个安全事件路由给最适合对其做出响应的分析师，同时提供支持团队和团队成员之间轻松通信和跟踪的功能，支持实时协作和非结构化调查。