在安全运营的道路上,有五座大山:
第一山:人员。人力不足,技能有限,工作量饱和。
第二山:响应。告警数量多,处置不及时;存在大量误报,导致“告警疲劳”。
第三山:效率。操作步骤多,响应时间长,难以及时止损。
第四山:经验。知识经验缺乏传承,无法积累。
第五山:协同。工具碎片化,人、工具、流程三者之间协同不足。
山山难过,山山过
安全运营人员
手持一把劈山开路的利器——SOAR
在这条路上奋勇前进
SOAR(安全编排自动化与响应)是将安全运营相关的团队、工具和流程,通过自动化编排技术整合在一起,有序处理多源异构数据,提供告警分诊与调查、案例处置、协同作战、事件响应等能力,并最终实现高效运营的智能协作系统。
提到SOAR,很多人会不自觉陷入两个误区:
- 认为SOAR等同于可视化编排技术。× 编排不是SOAR的目的,而是手段。SOAR的真正目的,是服务于安全运营流程。
- 认为SOAR可以代替安全运营人员。× SOAR不是代替人,而是帮助人提高效率,它能更快、更好地执行决策与处置流程。
需要强调的是,SOAR服务于安全运营!√
基于SOAR,安博通正式发布网络安全智能运营与协同响应平台,以案件为中心,实现自动化处置和可视化过程管理。
平台拥有“七十二般变化”,针对企事业单位的内部网络,将人力从繁重、低效的手动安全运营工作中解放出来,将一线人员的技术经验与实际工作的管理要求,转化成可视化编排的操作步骤,可以将各项工作流程永久保存,作为经验积累,保证安全事件处理的正确性和时效性。
关联分析:平台对各类告警和日志进行标准化处理,基于各类算子应用(日志过滤、日志关联、序列分析等)的组合,提供行为分析挖掘异常告警的能力,不仅满足传统静态规则匹配,更基于行为轨迹分析发现高级APT深度威胁,为告警收敛、异常流量发现高级威胁等场景提供安全保障。
剧本管理:平台将日常运营中可以固化的流程,抽象编排成一个有向无环流程图(即剧本),实现剧本的自动化、可视化执行,以7*24小时“零值守”网络安全为目标。
案件管理:平台为用户建立一座“电子档案室”,对整个案件进行全流程存储,包括案件发起、分析、处置、完结等过程,即时回溯,经验积累。
作战室:在通讯功能的基础上,平台集成了各类剧本的快捷调用,不仅做到人人协同,也实现人机之间的高效协同,不限场所随时联动。
多平台告警分析研判剧本
SOAR的核心,就是将安全预案或流程数字化,以自动化技术完成其中所有可以自动化的部分,需要人工处置的仍然交给人来处理,通过可视化编排工具将人、技术和流程有机结合,形成标准统一、可重复、更高效的安全运营流程。
基于SOAR的网络安全智能运营与协同响应平台,为用户建设一体化调度指挥安全运营中心。目前该平台已成功服务政府、金融、能源等多家标杆客户,助力企业机构从容应对且不断优化安全运营流程,赋能数字化转型创新。
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com