译文｜开始使用SOAR的5个技巧

SOAR是一种相对较新的安全平台的名称，它协调各种安全工具产生的信息，并使分析和保护性响应实现自动化。SOAR代表安全编配、自动化和响应，是Gartner在2015年创造的一个术语。随着企业应对越来越多的安全威胁、劳动力市场紧张、以及需要解析有关它们试图保护的系统和网络状态的越来越多的信息，该术语被业界所接受。

理想情况下，SOAR平台旨在帮助您更好地利用现有的资源——包括技术工具和员工。在SOAR实践中，可能会有一些奇怪之处，特别是在准备过渡到SOAR范式时，但是总体而言，这些产品为理解现代企业需要分析的所有与安全性相关的数据提供了希望。

基于此描述，您可能想知道SOAR平台和SIEM(安全信息和事件管理)软件之间的区别。SIEM软件确实从各种日志和工具中收集和分析信息，但它不一定采取SOAR平台所能做到的积极步骤。事实上，SOAR产品经常使用SIEM软件作为其输入之一。为了充分理解SOAR如何超越SIEM，我们需要深入了解SOAR工具的目标是什么以及它们是如何工作的。

从根本上讲，当代IT安全的故事是，为了锁定您的系统，您需要从越来越多的工具集中收集，处理和分析大量数据，并在需要时进行转换。针对您检测到的威胁采取行动的分析。所有这些都需要增加人力和智力，这是IT安全中最有价值（也是最昂贵）的资源。

这些好处能解决一个IT安全问题：“数据太多，人没有足够的时间来处理”。SOAR平台使用AI、自动化和协作工具，将重复性的、较低层次的任务从安保人员的工作中剥离出来，并确保将需要人工关注的任务吸引给合适的人员并尽快解决。

顾名思义，SOAR使用三种主要技术来实现这一点：编排、自动化和响应。

编排。SOAR平台协调您可能已经部署在网络上的许许多多安全工具的输入和操作。尽管供应商总是渴望向您出售他们自己产品的集成套件，但大多数SOAR平台都以从众多第三方工具获取数据的能力而自豪，它们可以通过大多数常见应用程序可以使用的预构建连接器应用程序，或者通过许多工具支持的api。因此，SOAR平台可以提供一个“单一面板”界面，安全专家可以从相互关联的多个工具中查看相关信息，并发出如何进行的命令。

自动化。SOAR平台的目标是执行大量与处理所有数据相关的分析工作，人工智能将漏洞扫描和日志进行梳理，以发现潜在的威胁。此外，通过创建剧本—预先编写的脚本，可以在很大程度上自动化那些经常占用安全人员大量时间的相对不重要的任务，这些脚本概述了可以按计划运行或只需单击就可以调用的操作。多亏了我们前面提到的那些连接器和api, SOAR产品不仅可以接收数据，还可以根据需要配置并向工具发送命令。有些任务可能是完全自动运行的，但更多的任务可能是合并的，以便工作人员可以升级警报、从日志中获取数据，或创建填充有适当数据的故障单，所有这些都比单独操作所有工具要快得多。

响应。SOAR平台为您的工具提供的所有数据提供可视性，允许您的分析师快速计划、管理、监控和报告他们将采取的应对威胁的措施。SOAR平台通常与案例管理和报告工具集成在一起，以确保随时掌握任何有关攻击的信息，以备将来参考。大多数还与威胁情报机构合作，因此您可以很容易地听到其他安全专家正在处理的事情，并与社区分享您自己的经验。

SOAR平台不是买来就可以安装的东西。它需要针对您的环境进行自定义，这就是为什么您需要研究您所考虑的任何产品都附带什么样的供应商支持。但是您还需要准备自己的安全操作，以适应您将通过SOAR解决方案获得的新工作流和功能。在此，在这一领域有经验的安全专家就如何实现这种转变提供了他们的建议。

确保您的内部技能与所选平台保持一致。VP/N overview的网络安全专家Veronica Miller说：“每一种SOAR解决方案都采取了略有不同的方法，有些是为高技能分析师量身定制的，有些则是为所有能力水平的用户量身定制的。” 例如，某些SOAR产品要求具有用Perl，Python或Ruby编写脚本代码的能力，以便集成安全工具并创建剧本。

“一定要询问您的首选平台是否同时包含图形用户界面和用于编写脚本的模块，例如集成开发环境，” Miller说：“GUI可以帮助非编码人员立即利用SOAR解决方案的优势，可能通过简单的拖放特性，而IDE允许编码人员在必要时进行更高级的定制。。”

确保您的工具具有所需的API连接器。如上所述，虽然一些SOAR平台为流行工具内置了预先编写的连接器，但它们并不是通用的——而且您可能还需要集成一些自制的工具。这就是API连接器的用途，Smart Billions的首席技术官Jason Mitchell说，制作一个需要使用它们的工具目录是重要的一步。他说:“研究在系统内用于执行审计，警报和纠正措施的机制，并确保您发现的所有API连接器都是可用的或可开发的，确保它们执行您希望执行的特定操作。”

您可能会发现需要自己构建这些API连接器。大多数供应商都提供的集成框架允许您这样做。“您还可以构建可在建设性基础上改进SecOps的守护程序，”Mitchell补充说：“对可以创建的守护程序类型没有任何限制，例如威胁情报平台中的新IoC或更高风险的SIEM警告。”

在自动化事件处理流程之前，请先对其进行规划。由于自动化是SOAR平台的最大价值主张之一，因此许多实现它们的企业都匆忙进入自动化流程，但这可能是一个大错误。InVP/N首席执行官Timothy Robinson表示：“尽管自动化有可能显着改善程序，但也有可能加剧问题。”“将自动化添加到低效的流程中会加剧效率低下的情况。”

利用SOAR提供的过渡机会，可以在您基于流程创建剧本之前分析和合理化您的过程。“为了更好地可视化和协调，请在纸上或白板上绘制代表性图表，”Robinson建议。他还补充说，许多供应商都提供了预先编写的剧本，您可能会发现它们对您当前的流程有所改进。“这可能是使您的团队起步的一种绝妙方法，当您了解什么最适合您的SOC时，您可以改进它。”

慢慢进入自动化。在分析现有流程时，您可能要考虑的一件事是，是否应立即将其自动化。Spreadsheet Planet首席技术官Steve Scott表示：“即使是最困难、最恶意的案例，也需要进行批判性的思考，只有安全分析人员才能提供这种思考。“因此，每一个SOAR实现总是关于为特定的SOC找到由机器驱动和分析驱动活动的正确组合。确定自动化的主要候选流程，并首先在这些领域引入SOAR(如果您刚刚起步的话)。从那里，您将决定如何继续您旅程的自动化部分。”

为您的SOAR实现做好准备。请记住，您使用SOAR的旅程确实是一段旅程：您将在过程中不断学习如何根据需要对其进行最佳调整，以及什么有效，什么无效。TRGDatacenters的高级网络工程师Eric McGee说：“第一次尝试就不可能成功。” “即使您花费大量时间和精力来创建特定的事件应对手册，也很有可能不会完美无缺。”

当然，您知道威胁的形势总是在变化的——您的SOAR手册将需要不断调整以迎接新的挑战。McGee说:“网络威胁的方法、战略和程序会随着时间的推移而改变。因此，您必须根据需要调整和实施更改。在使用SOAR解决方案将流程编码之后，分析人员必须继续跟踪、审查和改进流程，以确保每个剧本继续以最佳的效率和性能工作。SOAR解决方案可以帮助持续开发，它使您可以在剧本上运行测试和警告模拟。”如果一切顺利，您的SOAR平台将提高SOC的效率，并为您的分析师提供他们需要的时间来进行战略思考，而不是整天只是救火。