一、SOAR概述

 图片来源：Gartner, Solution Path for Security in the Public Cloud, Figure 13, January 2020

SOAR 的全称是 Security Orchestration, Automation and Response，意即安全编排自动化与响应。该技术聚焦安全运维领域，重点解决（但不并不限于）安全响应的问题，最早由 Gartner 在 2015 年提出。当时，Gartner 将 SOAR 定义为 Security Operations, Analytics, and Reporting（安全运维分析与报告）。随着安全运维技术的快速发展与演变，到了 2017 年，Gartner 重新将 SOAR 定义为安全编排自动化与响应，并将其看作是安全编排与自动化 (SOA,Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform) 三种技术/工具的融合。Gartner 认为，SOAR 技术仍然在快速演化，内涵未来仍可能会变化，但其围绕安全运维，聚焦安全响应的目标不会改变。

安全团队通常将SOAR和SIEM(System Information and Event Management：安全信息和事件管理)互换使用，但是，这些做法是两个具有互补功能的独立安全解决方案。实际上，这两种工具的协同工作效果非常好，以至于SecOps团队通常会串联使用这些技术来优化其安全运营中心。要全面了解SOAR，先了解一下SIEM, SIEM解决方案专注于：

• 日志数据存储
• 威胁情报
• 资料汇整
• 威胁检测
• 通知

受到严格监管的行业的用户还使用SIEM软件存储和组织日志数据的能力，以证明其符合政府法规和安全标准。

SIEM流程

 SIEM的常见任务包括：

• 从许多内部来源收集日志数据
• 汇总和规范化数据
• 分析数据以发现可能的网络安全漏洞
• 发送警报或利用已建立的协议来关闭安全事件

SIEM工具的挑战在于流程的最后一步，这通常需要一组安全工程师和分析人员不断调整软件警报。此步骤需要大量人力资源：可能需要许多工时来连续管理规则和使用案例，以确保正常活动不会与可疑活动混在一起。由人员配备适当的安全部门运行的，经过适当调整的SIEM对组织的检测和事件响应功能至关重要。但是，手动修复的挑战和现有SIEM解决方案的其他缺点留下了一个漏洞：SecOps团队应如何管理和响应过多数据带来的无尽警报？

二、SOAR的组成

SOAR平台是软件解决方案和工具的集合，旨在浏览各种资源并收集：

• 安全威胁
• 数据
• 报警

然后SOAR工具通过人与机器学习的组合来分析这些不同的数据，以了解事件响应活动并确定其优先级。传统上，人类必须审查，补救和标准化各种动作到数字工作流程中，以定义事件响应程序。但是该过程需要大量资源，并会引入人为错误。SOAR解决方案可以通过组合各种数据任务来为您定义事件响应过程，这些任务包括：

1. 资料收集
2. 案例管理
3. 标准化
4. 工作流程
5. 分析工具

然后可以通过自动化的机器驱动活动来处理此活动。让我们看一下组成SOAR的三个安全任务：

1、编排：Orchestration

编排是一种集成多种技术并连接安全工具（特定于安全性和非特定于安全性）的行为，以使它们协同工作，同时缩短安全事件响应时间。这意味着SOAR解决方案的功能远不止是从SIEM系统中提取和分析警报。SOAR解决方案还可以从以下方面提取和分析警报：

1. 用户和实体行为分析（UEBA）
2. 威胁情报平台
3. 事件响应平台
4. 入侵检测和防御系统（IDPS）
5. 其他

通常来自多个供应商的多个安全解决方案可以提高数据的整体安全性。但是，它通常会导致更多警报，包括虚假警报，以及专职且训练有素的员工调查每个人所花费的时间。

           Splunk Automate Security Actions Using Phantom Playbooks

2、自动化：Automation

自动化是与安全操作相关的任务的机器驱动执行。以前由人类执行的任务可以通过SOAR解决方案执行和标准化：

1. 自动化步骤
2. 决策流程
3. 执法行动
4. 状态检查
5. 审核能力

有了SOAR，这些任务就不再浪费人力资源。

3、响应-Response

空闲时间意味着安全团队可以专注于实际的安全事件和解决方案。SOAR通过使分析范围扩展到SIEM的日志数据之外，从而使分析人员可以就事件进行协作，从而进一步使这些分析人员可以确定对潜在漏洞的补救措施，以防止进一步的攻击。SOAR工具还包括案例管理模块。这些模块可用于交流学习信息和提供威胁情报，从而进一步缩短对未来攻击的主动响应时间。

Splunk Collaborate and Respond to Security Incidents Fast

三、SOAR用例

在相对较短的SOAR平台出现之后，安全团队便以创新的方式利用了这些工具，从而在更短的时间内实现了更多目标，同时仍然可以在最关键的时刻做出人为的决策。SOAR最常见用例的一些示例是：

1. 网络钓鱼电子邮件
2. 恶意网络流量
3. 简化漏洞管理
4. 满足服务水平协议
5. 案例管理

SOAR的例子

让我们以网络钓鱼电子邮件为例。SOAR的位置十分理想，可以自动分类和检查可疑的恶意电子邮件。在过去的几年中，精心设计的网络钓鱼电子邮件导致了许多备受瞩目的数据泄露，这使其成为安全团队面临的最关键的问题之一。如果收到可疑电子邮件，SOAR可以提取工件，例如标题信息，电子邮件地址，URL和附件。然后，您可以使用各种技术集成来分析此数据。如果确定为恶意，SOAR平台可以采取自动或半自动操作来遏制威胁。安全团队定义下一步行动。在这种情况下，下一步可能是：

1. 隔离或删除电子邮件
2. 搜索和删除其他用户帐户中电子邮件的其他实例
3. 阻止IP地址或URL
4. 禁止可执行文件运行
5. 隔离用户的工作站

使用SOAR来检查和响应组织的个人使用情况，例如网络钓鱼电子邮件，可以自动控制攻击，同时将对组织的风险降至最低，从而将调查时间从数小时缩短至数分钟。如果SOAR实施得当并且建立在强大而准确的数据之上，它将使安全团队可以减少耗费时间的低级安全事件的负担，从而简化其安全运营中心。