智能驱动的安全协调和自动响应SOAR-Splunk郑聿铭
ISOC
intelligence-Driven Security Operation Center,即智能化安全运营中心
值得注意的趋势
- 安全策略依赖于数据策略
- 对自动化和适应性相应的需求
- 威胁情报至关重要
- 从阻断转变为检测和响应
- 用于威胁检测的分析方法和机器学习
SOC转移的焦点和角色(传统->需求)
- 情景意识->决策和响应
- 运营/监控中心->指挥/融合中心
- 人类创作->人机学习
- 人类速度运营->机器速度周期
SOAR
定义
SOAR = Security Orchestration, Automation & Response,使相关组织能够收集来自不同来源的安全威胁数据和警报的技术,可以利用人机能力的结合执行事件分析和分类,以帮助根据标准工作流定义,优先化和驱动标准事件相应活动
演进
- 从SIR+SOA+TVM演进为SOA+SIR+TIP
自动化安全运营
步骤
观察(端点产品)
- 防火墙
- IDS/IPS
- 端点
- WAF
- 高级恶意软件
- 取证
- 恶意软件检测
定位(分析方法)
- SIEM
- 威胁情报平台
- HADOOP
- GRC
决策
- 1级决策
- 2级决策
- 3级决策
行动
- 防火墙
- IDS/IPS
- 端点
- WAF
- 高级恶意软件
- 取证
- 恶意软件检测
价值
加速企业的神经中心安全愿景
- 利用由分析驱动的方法提高网络防御并降低风险
- 通过自动化事件响应加快响应速度
- 更聪明地工作并减少人员配备和技术挑战
落地关键点
将您的团队、流程和工具整合在一起
- 通过自动执行重复性任务,使分析人员将注意力放在更多关键任务,从而更智能地工作
- 通过自动检测、调查和响应更快的作出响应并减少停留时间
- 通过整合现有的安全基础设施加强防御,使每个部分都成为积极的参与者
自动化
- 自动执行重复性任务以强化多重团队能力
- 在数秒而非数小时内执行自动化操作
- 预先获取情报以支持决策
编排
- 协调整个SOC的复杂工作流程
协作
- 在不丢失任务背景的情况下沟通
- 与您的团队分享感兴趣的项目
- 通过Phantom Mission ExpertsTM获得共同知识
事件管理
- 首先分类最相关的事件
- 消除工作量中的噪声
- 将经过验证的事件升级为正式案例
案例管理
- 创建复制您SOP的案例模板
- 精确管理您对威胁的响应
- 在案例任务中嵌入自动化
报告和指标
- 快速评估运营状态和团队绩效
- 进行事后案例审查
- 证明您所在组织的安全投资回报
结语:企业安全运营建设成功之旅
- 安全神经中心
- 驱动协作性SOC
- 建立您的安全运营
- 解决多个领域的问题
- 解决特定问题
本文作者:
yd0ng
本文链接: https://yd0ng.github.io/2021/01/20/%E6%99%BA%E8%83%BD%E9%A9%B1%E5%8A%A8%E7%9A%84%E5%AE%89%E5%85%A8%E5%8D%8F%E8%B0%83%E5%92%8C%E8%87%AA%E5%8A%A8%E5%93%8D%E5%BA%94SOAR/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://yd0ng.github.io/2021/01/20/%E6%99%BA%E8%83%BD%E9%A9%B1%E5%8A%A8%E7%9A%84%E5%AE%89%E5%85%A8%E5%8D%8F%E8%B0%83%E5%92%8C%E8%87%AA%E5%8A%A8%E5%93%8D%E5%BA%94SOAR/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
