SOAR平台初探（一）

1.前言

Security Orchestration, Automation and Response（SOAR）安全编排和自动化响应,是Gartner2017年提出的新概念。Gartner预计到2019年，大概30%的大中型企业会进行SOAR平台的建设。

2.  概述

目前来说，一般大中型企业都已经建立了相对比较完备的安全运营中心SOC，为什么又要提出SOAR的概念呢。主要是因为在SOC的运营过程中，面临以下的一些问题：

• 大量的安全事件，都需要安全分析师的介入，运营成本高，企业需要用更少的钱，来做更多的事。
• 安全分析师的分析时间，经常被浪费在一些低级别或无关紧要的事件分析上。
• 传统的安全响应执行过程，响应时间长，人工介入多，相关处理过程难以定量评估。
• 人员流动，带来运营过程的变化和运营质量的变化，比如老人离职，新人进来需要培训，需要时间和经验的积累。

SOAR平台主要就是解决这些问题，其核心概念主要包括：

• Orchestration，编排

与过去相比，现在的安全运营中心需要整合大量的系统，运维的复杂度也大大增加，事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求，必然需要的提供丰富的事件响应与处理编排能力，可以进行流程定制，流程执行，流程监控，结果的验证与评估，流程再造。

• Automation，自动化

当前安全分析师在解决安全问题时所需要的数据，分析的方法与过去相比，其工作量和内容都大大增加。数据是海量的数据，大量的数据需要使用自动化方式去处理。既可以节省时间，人力，成本，也避免人在处理大量数据的过程中带来的误差或失误。

•  合理的KPI评估体系

系统提供编排与自动化执行能力，也需要对流程和自动化执行的结果进行有效的评估，需要提供合理的评估方法，可量化的评估指标，根据评估结果，才可以进行流程再造，优化我们的编排内容，带来整个安全运营中心的效率提升。

3.SOAR平台基本功能需求

针对SOC运营的一些问题，我们可以看出SOAR平台需要具备的一些基本功能：

1.系统能够对接主流的安全管理平台的管理数据，可以对安全事件进行二次分析和聚合。

2.具备流程化自动执行功能，能够依据场景或案例，制定执行计划和执行脚本，并具备自动、半自动和手动执行的能力。

3.对执行效果可以提供合适的KPI进行评估，反馈，在修改的能力。

4.执行过程能够整合既有的知识库，经验。

5.和威胁情报对接能力，多协议支持。

6.可定制的可视化分析和展现，可以定制Dashboard展现内容。

7.内容分享，沟通和交互，充分利用微信，邮件等既有沟通平台，提供反应速度。

4.SOAR和SOC的关系。

有一部分人认为SOAR的功能是包含在SOC中的，比如现在国内的一些安全厂家，也都在SOC中添加事件处理，调查，响应功能。但是专业的事还是需要专业的软件来执行，SOAR更偏重于安全分析师所做的工作，侧重于过程，比如把对于一封钓鱼邮件的分析，通过程序自动化的执行。而且一套好的SOAR平台，是能够整合不同厂家的相关产品，不管是SIEM，SOC，还是TI相关产品。SOC产品更偏重于事件的采集，分析与告警，响应在SOC中更多的是手动的的操作。