什麼是 SOAR?
安全協調、自動化和回應 (SOAR) 技術有助於在單一平台內協調、執行和自動化各種人員和工具之間的任務。因此企業不僅可以快速回應網路安全攻擊,而且可以觀察、了解和防禦未來的事件,藉此改善本身的整體安全狀況。
這是一種全功能的 SOAR 產品,如同 Gartner 所定義,專為提供三種主要軟體功能而設計:威脅與弱點管理、安全事件回應和安全作業自動化。
威脅和弱點管理 (協調) 涵蓋用於改善網路威脅的技術,而安全作業自動化 (自動化) 則涉及在作業中達到自動化和協調的技術。
SOAR 會引入警示數據,然後這些警示會觸發劇本以自動化/協調回應工作流程或任務。然後,企業可以結合人類和機器學習,讓其能夠分析這些不同的數據,以便了解並優先採用自動化事件回應動作來防範任何未來的威脅,進而建立更有效率且更有效的方法來處理網路安全性並改善安全作業。
圖 1:用於惡意軟體分析的 SOAR 劇本範例
什麼是 SIEM?
SIEM 代表安全資訊和事件管理。它是一組服務和工具,可協助安全團隊或安全作業中心 (SOC) 收集和分析安全數據以及建立政策和設計通知。SIEM 系統使用以下內容來管理安全資訊和事件:數據收集、整合和關聯性,以及單一事件或事件組合觸發 SIEM 規則時的通知。企業還可設定符合其特定安全疑慮的規則、報告、警示和儀表板等政策。
SIEM 工具讓 IT 團隊能夠:
- 使用事件日誌管理來整合多個來源的數據
- 即時獲得企業範圍的可視性
- 使用 if-then 規則針對從日誌收集的安全事件建立關聯性,以更有效地將可採取行動的情報新增至數據中
- 使用可透過儀表板管理的自動事件通知
SIEM 可將安全資訊和安全事件的管理結合起來。這是透過即時監控和系統管理員的通知所完成。
SOAR 與 SIEM 的比較
許多人將 SOAR 和 SIEM 定義為類似的產品,因為兩者都會偵測安全問題並收集與問題性質有關的數據。它們還能處理安全人員用來解決疑慮的通知。然而,它們之間仍存在著顯著的差異。
SOAR 使用類似於 SIEM 的集中式平台收集數據並對安全團隊發出警示,但是 SIEM 僅對安全分析人員傳送警示。不過,SOAR 安全會使用自動化劇本或工作流程以及人工智慧 (AI) 來學習模式行為,增加調查路徑的自動化和回應,讓其能夠在類似威脅發生之前進行預測。由於 SOAR (例如 Cortex XSOAR) 通常會從 SIEM 並未涵蓋的來源 (例如弱點掃描結果、雲端安全警示和 IoT 裝置警示) 取得警示,因此更容易刪除重複警示,事實上,這是一個典型的 SOAR 和 SIEM 整合使用案例。這可減少手動處理警示所需的時間,讓 IT 安全人員能更輕鬆地偵測及因應威脅。
什麼是安全協調和自動化?
安全自動化就是以機器來執行安全動作,其能夠偵測、調查和補救網路威脅,不需要任何人為介入。它為 SOC 團隊完成大部分的例行工作,因此他們不再需要逐一查看並手動處理收到的每個警示。安全自動化可以:
- 偵測環境中的威脅。
- 對潛在威脅進行分類。
- 確定是否對事件採取行動。
- 遏制並解決問題。
所有這一切都可以在幾秒鐘內完成,不需要任何人為介入。安全分析人員不必依照步驟、指示和決策工作流程來調查事件並判斷其是否為合法事件。他們不再需要執行重複、耗時的動作,讓他們可以著重於更重要且更有價值的工作。
安全協調是透過機器來協調一系列相互依賴的安全動作,包括事件調查、回應和最後解決,所有動作都會在單一且複雜的基礎結構中完成。它可確保所有安全和非安全工具都能以更為一致的方式作業,無論是跨產品和工作流程的自動執行任務,還是手動通知代理程式需要更加關切的重要事件。
安全協調可以:
- 針對安全事件提供更詳盡的脈絡。安全協調工具可彙總不同來源的數據以提供更深入的見解。因此您可以對於整個環境進行更全面的檢視。
- 進行更深入且更有意義的調查。安全分析人員可以停止管理警示並開始調查這些事件發生的原因。此外,安全協調工具通常會提供高度互動且直覺的儀表板、圖表和時間表;這些視覺化工具在調查過程中非常有用。
- 改進協作。其他相關各方,包括不同層級的分析人員、經理、技術長和高階主管、法律團隊和人力資源部門,也可能需要參與某些類型的安全事件。安全協調可以讓所有人輕鬆取得所有必要的數據,讓協作、問題解決和解析的過程更加有效。
最後,安全協調提高防禦的整合度,讓您的安全團隊能夠自動化複雜的程序,並最大程度地提高從相關安全人員、程序和工具中獲得的價值。
自動化和協調之間有何差異?
雖然安全自動化和安全協調是經常交互使用的術語,但是這兩個平台卻扮演著截然不同的角色:
- 安全自動化減少偵測及回應重複事件和誤判所需的時間,因此警示不會長時間擱置而無法解決:
- 讓安全分析人員有更多時間著重於策略性任務,例如調查研究。
- 每個自動化劇本都能透過預先規定的行動方案來解決已知的情境。
- 安全協調讓您可以輕鬆共享資訊,即使數據分佈在各個大型網路和多個系統或裝置上,也能整合多個工具以群組方式來回應事件:
- 安全協調會使用多個自動化任務來執行完整、複雜的程序或工作流程。
- SOAR 解決方案的優勢在於其廣泛的預先建立整合,可加快並簡化安全作業使用案例的部署。
安全自動化的目的就是為了簡化安全作業並讓其能更有效率地執行,因為其可處理一系列單一任務;而安全協調則可串聯所有不同的安全工具,讓其能相互結合,從頭到尾建立快速且高效率的工作流程。它們結合在一起時的效果最佳,因為安全團隊在採用兩者時可以最大程度地提高效率和生產力。
什麼是威脅情報管理 (TIM)?
在與安全協調、自動化和回應相互結合後,SOAR 平台還可將威脅情報管理 (TIM) 納入。威脅情報管理 (TIM) 讓企業能夠更加了解全球威脅形勢、預測攻擊者接下來的行動並立即採取行動來阻止攻擊。
威脅情報和威脅情報管理之間存在著顯著的差異。威脅情報是一種關於威脅的數據與資訊,而威脅情報管理則是針對潛在攻擊者及其意圖、動機與能力的相關數據進行收集、標準化、強化並採取行動。此資訊可協助企業更快速地在充分掌握資訊的情況下做出安全決策,進而做好更充分的準備以抵禦網路威脅。
為何 SOAR 如此重要?
在不斷成長且日漸數位化的世界中,現今的企業在網路安全領域面臨著許多挑戰。隨著威脅變得越來越複雜且具有惡意,公司越來越需要開發一種更有效率且更具成效的方法來執行未來的安全作業。由於這樣的需求,SOAR 正徹底改變安全作業團隊管理、分析和回應警示和威脅的方式。
如今,安全作業團隊的任務是每天手動處理數千個警示,進而導致錯誤以及營運嚴重缺乏效率,更不用說成效不彰、孤立和過時的安全工具,以及合格網路安全人才的嚴重短缺。
許多安全作業團隊都在努力連結來自不同系統的雜訊,導致太多容易出錯的手動程序,並且缺乏高度熟練的人才來解決所有這些問題。
隨著威脅和警示數量的不斷增加,以及缺乏解決所有這些問題的資源,分析人員不僅被迫決定哪些警示更值得認真地看待並採取行動,哪些警示可以忽略,而且他們經常負擔過重,以致於有可能錯過真正的威脅,等到他們試圖回應威脅和惡意代理程式時,最後會犯下大量錯誤。
因此,企業必須擁有 SOAR 平台等系統,讓他們能夠更系統地協調及自動化其警示和回應程序。在篩選掉佔用最多時間、人力和資源的日常任務後,安全作業團隊在處理和調查事件時能更具成效及生產力,進而大幅提升企業的整體安全狀況。
SOAR 讓您能夠:
- 整合安全性、IT 作業和威脅情報工具。您可以連接所有不同的安全解決方案 (甚至是來自不同廠商的工具) 以達到更全面的數據收集和分析。安全團隊不需要處理一連串各種不同的主控台和工具。
- 集中查看所有內容。您的安全團隊可以存取單一主控台,其能夠提供調查和補救事件所需的所有資訊。安全團隊可以在同一個地點存取他們需要的資訊。
- 加速事件回應。事實證明,SOAR 可以縮短平均偵測時間 (MTTD) 和平均回應時間 (MTTR)。由於許多動作都是自動執行的,因此有很大一部分的事件可以立即自動處理。
- 避免耗時的動作。SOAR 可以大幅減少誤判、重複任務和手動程序,這些都會耗用安全分析人員的時間。
- 獲得更好的情報。SOAR 解決方案可彙總並驗證來自威脅情報平台、防火牆、入侵偵測系統、SIEM 和其他技術的數據,為您的安全團隊提供更深入的見解和脈絡。這讓問題的解決和作法的改進變得更加容易。當問題出現時,分析人員能夠進行更深入且更廣泛的調查。
- 改善報告和溝通程序。在將所有安全作業活動彙總在一處並顯示在直觀的儀表板中後,相關各方就可以收到他們需要的所有資訊,包括各種清楚的指標以協助他們了解如何改進工作流程並縮短回應時間。
- 提高決策能力。SOAR 平台的目的在於透過預先建立的劇本、從頭開始建立劇本的拖放功能以及自動排定警示優先順序等特性,讓平台更易於使用,即使是經驗不足的安全分析人員也能游刃有餘。此外,SOAR 工具可以收集數據並提供見解,讓分析人員能夠更輕鬆地評估事件並採取正確的措施進行補救。
擁有並使用 SOAR 的價值
SOAR 能將所有類型的安全事件所造成的影響降到最低,同時最大程度地提高現有安全投資的價值,並減少法律責任和整體業務中斷的風險,讓公司和企業能充分體認 SOAR 創造的價值。SOAR 協助公司解決並克服各種安全挑戰,讓他們能夠:
- 統一現有安全系統並集中數據收集以獲得全面的可視性,進而大幅提高公司的安全狀況以及營運效率和生產力。
- 自動執行重複的手動任務並管理安全事件生命週期的各個方面,進而提高分析人員的工作效率並讓分析人員能夠著重於提升安全性而不是執行手動任務。
- 定義事件分析和回應程序,並利用安全劇本以一致、透明和文件記錄的方式,優先處理、標準化及擴展回應程序。
- 加快事件回應速度,分析人員能夠快速且準確地識別事件嚴重性層級並將其指派到相應的安全警示,進而減少警示數量並減輕警示麻痺
- 簡化程序和作業,以更有效率地主動及被動識別和管理潛在的弱點。
- 將每個安全事件傳送給最適合回應該事件的分析人員,同時提供各種功能以促進團隊與團隊成員之間的溝通和追蹤,因此可支援即時協作和非結構化調查。
使用此投資報酬率計算器了解 XSOAR 的優勢,並取得自訂報告,清楚地展現 XSOAR 根據不同的規模和用途為企業帶來的商業價值。
SOAR 使用案例
下表提供 SOAR 常見使用案例的範例。
使用案例 |
協調能提供哪些協助 (高階概覽) |
處理安全警示 |
網路釣魚強化及回應 - 取得潛在的網路釣魚電子郵件;觸發劇本;自動化及執行可重複的任務,例如分類及接觸受影響的使用者;擷取並檢查指標;識別誤判;並且引導 SOC 做好大規模標準化回應的準備。 端點惡意軟體感染 - 從端點工具提取威脅摘要數據、強化該數據的內容,使用安全資訊和事件管理 (SIEM) 解決方案交互參照擷取的檔案/雜湊、通知分析人員,清理端點並更新端點工具數據庫。 失敗的使用者登入 - 在達到預先定義的使用者登入嘗試失敗次數後,系統會觸發劇本、接觸使用者、分析他們的回應、讓密碼過期並關閉劇本。 從異常位置登入 - 檢查是否存在 VPN 和雲端存取安全代理 (CASB)、交互參照 IP、確認使用者違規、發出封鎖命令並關閉劇本,以識別潛在的惡意虛擬私人網路 (VPN) 存取嘗試。 |
管理安全作業 |
安全通訊端層 (SSL) 認證管理 - 檢查端點以查看哪些 SSL 認證已過期或即將過期、通知使用者、在數天之後重新檢查狀態,將問題呈報給適當的人員並關閉劇本。 端點診斷和啟動 - 檢查連線和代理程式連線、強化脈絡、開立票證、啟動代理程式並關閉劇本。 弱點管理 - 取得弱點和資產資訊、強化端點以及一般弱點和暴露 (CVE) 數據,查詢弱點脈絡,計算嚴重性,將控制權移交給安全分析人員進行補救和調查並關閉劇本。 |
捕捉威脅並回應事件 |
入侵指標 (IOC) 捕捉 - 從附加檔案中取得並擷取 IOC、跨威脅情報工具捕捉 IOC,更新數據庫並關閉劇本。 惡意軟體分析 - 從多個來源取得數據、擷取並觸發惡意檔案、產生和顯示報告、檢查惡意行為、更新數據庫並關閉劇本。 雲端感知事件回應 - 使用以雲端為中心的威脅偵測和事件記錄工具所提供的數據、整合跨雲端和內部部署安全基礎結構的程序、建立與 SIEM 之間的關聯性,擷取並強化指標、檢查惡意行為,將控制權移交給分析人員以便他們檢閱資訊、更新數據庫並關閉劇本。 |
自動數據強化 |
IOC 強化 - 從多個來源取得數據、擷取任何需要觸發的指標,強化 URL、IPS 和雜湊;檢查是否存在惡意行為、更新數據庫,邀請分析人員審查和調查資訊,然後關閉劇本。 指派事件嚴重性 - 檢查其他產品的弱點評分並查看現有指標是否已進行評分、指派嚴重性,檢查使用者名稱和端點以查看其是否列於關鍵清單中、指派關鍵嚴重性並關閉事件。 |
進一步了解常見安全協調使用案例。
在 SOAR 平台中尋找什麼?最佳實務指南
現在您已經能夠定義 SOAR 並了解它的不同功能,那麼您如何知道哪些 SOAR 產品能符合企業的需求?您應該在 SOAR 平台中尋找什麼?
在比較不同的 SOAR 廠商時,您應在做出決定之前考慮一些不同的因素。除了核心技術之外,整體提供的因素和服務會對於買家決策程序造成非常大的影響。企業在實施任何 SOAR 產品之前應考慮的一些因素包括對其自身成熟度的評估、所需的技術整合和工具堆疊、現有程序以及他們選擇的部署方法。
企業對其安全狀態進行內部稽核之後,則必須考慮與 SOAR 產品本身有關的因素。考慮因素如下:
- 易於使用以及與其他工具的連線:安全協調工具應可作為偵測、強化、回應和相關工具之間的連線光纖。
企業應努力達到最後狀態情境,其中 SOAR 工具會從他們目前部署的偵測工具中取得警示並執行自動化劇本,以協調強化、回應和相關工具之間的動作。
平台內可以執行多少個命令或動作?整合是否能夠解決以下焦點領域?其中包括:
- 分類和對應
- 偵測與監控
- 數據強化與威脅情報摘要
- 執行和回應
- 自訂整合功能:該平台是否提供建立自訂整合的機制 (例如內部 SDK)?平台上線期間是否包含服務團隊提供的自訂整合支援?這些是屬於附加的服務還是作為產品購買價格的一部分?
- 立即可用 (OOTB)/預先建立的整合:該平台包含多少個整合 (類別的廣度和每個類別的深度)?新的整合是否會隨著時間的推移新增到平台中?頻率為何?這些更新是免費的還是附加服務?
- 事件和案例管理:該平台是否具有原生案例管理或者是與相關案例管理工具整合?該平台是否能夠重建事件時間表?該平台是否支援事件後記錄和檢閱?該平台是否會建立稽核記錄來強調數據流量並維持責任歸屬?
- 與威脅情報整合:威脅情報是以證據為基礎的知識,包括與資產的現有或新興威脅或危害有關的脈絡、機制、指標、影響以及行動導向的建議。具有威脅情報整合的 SOAR 平台可利用收集到的知識,協助 SOC 團隊就外部威脅對其環境的影響做出明智的決策。透過將外部威脅情報對應到網路事件的能力,您可以加快事件調查的速度,進而發現可能之前從未偵測到的惡意活動。自動化工作流程具備擴充能力並可即時將相關威脅情報分配至各個執行點。
- 工作流程和劇本功能:該平台是否具有工作流程功能 (基於視覺化任務的程序)?該平台是否會顯示每個事件的即時執行劇本?該平台是否支援劇本巢狀?該平台是否支援自訂劇本任務的建立 (自動和手動)?該平台是否支援跨劇本傳輸自訂任務?
- 部署彈性:企業用於執行業務和保護數據的技術持續處於演進和快速變動的狀態。對於所有這些不斷變動的部分來說,在選擇安全協調工具時,敏捷性和可擴充性至關重要,這在很大程度上取決於可用部署選項的靈活性,以及這些選項如何和企業內的其他工具和需求保持一致。
該平台有哪些靈活的部署選項?該平台是否專為多租戶而設計,是否具有必要的安全保護以支援跨企業網路通訊的網路區隔該平台是否具有跨多個租戶的水平可擴充性以及一定程度的高可用性保證?
- 定價:在選擇安全協調工具之前,應考慮哪種定價方法最適合您的整體預算編列程序。目前市面上常見的定價方式如下:
- 依動作或自動化定價
- 依節點或端點定價
- 適用於其他管理員使用者的年度訂閱與附加價格
- 額外服務和功能:除了核心 SOAR 能力之外,公司還提供哪些其他差異化資源來為您的企業帶來利益?
- 專業服務:該公司是否為其客戶提供專業服務,確保從開始到結束的成功部署?
- 售後支援:公司在安裝後提供哪些支援?公司是否提供您和您的企業所需的支援類型?
為任何安全作業找到最佳的 SOAR 解決方案,需要將廠商的產品與 SOC 企業的需求相互結合以提升效率和效能。正確的 SOAR 解決方案不僅應補足及相容於既有的產品、劇本和程序,還應能最佳化協作、提供部署和託管功能的靈活性,並可提供符合企業需求的定價模型。