如何打造SOAR

考慮購買安全編排、自動化與回應(SOAR)解決方案的公司企業，往往會擔心自己現有的事件回應專案尚未成熟到可實現具有自動化與編排功能的綜合性平台的程度。如果幾乎沒有任何基礎，從零起步似乎甚為艱難，尤其是團隊中無人有事件回應或安全編排解決方案經驗的時候。

雖然大家都不想只是往低效過程中添加自動化就完事兒，但如果老方法本身已不夠好，進一步鞏固這種舊有的安全事件處理方式顯然更不科學。

如果你想要改善公司安全運營，但不知道從何處著手，以下幾步或許可以幫你準備好遷移到SOAR平台。

1. 盤點目前營運狀況

認為自己不具備事件回應專案的公司各有各的道理。無論有沒有SOAR或事件回應平台，每家公司都有些管理安全事件的方法，即便可能涉及許多即興動作和臨時流程。

準備實現SOAR平台的時候，可以花點時間與公司利害關係人談談，了解當前流程及這些過程的有效性(或無效性)。這其中應包括梳理工具清單：

• IT和資訊安全的現有基礎設施有哪些？

• 有沒有什麼工具可供進行資料豐富操作？

一旦弄清楚了手邊有哪些工具可用，你就可以將這些工具都映射進事件回應生命週期中，例如NIST 800-61r2 標準中描述的那種，並辨識出公司目前還缺些什麼。

接下來，請查看公司遵從的事件回應流程或手冊。看看安全營運中心(SOC)內部是怎麼協作的？又是怎麼與IT和資料隱私組織等其他團隊協作的？公司如何保持在事件回應過程中的法律合規與監管合規？公司團隊是如何管理網路釣魚或惡意軟體之類當前常見安全事件的？

如果有可用的衡量標準，請仔細審查，找出運作良好的部分和需要改進的地方。比方說：

• 偵測並回應安全警報耗時多久？

• 哪些活動佔據了安全分析師太多時間？

如果沒有正式指標可用，那就問安全分析師和經理，讓他們給出自己的評估。

2. 找出最適用於自己公司的功能，以及提供這些功能的平台

在市場上有多種SOAR平台可供選擇，但要縮小選擇範圍，可以花些時間確認對自己而言最關鍵的功能。想要先自動化的流程是哪些？什麼問題是你安全團隊最棘手的？存不存在重複發生的安全事件、資料孤島或製程瓶頸？你的分析師可以幫你回答這些問題。

每個平台都有各自專注的安全營運面向。這些功能大致可分為以下幾類：

• 警報管理：幫助SOC分揀、評估並關閉出自SIEM和其他來源系統的持續安全警報流。

• 分類：透過從威脅情報和歷史事件記錄等外部和內部來源收集上下文信息，幫助分析師做出決策。

• 事件回應：包含戰術手冊、任務管理、連結分析等功能，支援有效且可重複的回應工作流程。

• 這句話可以重寫為："報告和分析功能支援自動化或定期產生報告、產生詳細的SOC指標，並為不同的系統使用者角色提供可自訂的儀表板。"。

• 合規與追蹤：例如稽核追蹤、保管鍊和通用合規報告範本。

• 個案管理包括支援調查人員與其他團隊協作的功能、儲存相關事件案例的目錄、有指導的調查工作流程和證據管理。

3. 試著草擬一份戰術手冊

你可以嘗試為你最關鍵的用例起草一本策略手冊，以獲得關於如何使用SOAR平台的實際理解。然後，指出你覺得可用自動化和編排來加以增強的步驟。

供應商或行業機構提供了線上戰術手冊範例，這些範例應該可以為您的步驟提供參考。透過對公司現有流程進行評估，並與公司分析師進行討論，可以獲得更有價值的信息，其中包括常見用例或重要用例。你可以以最典型的用例，如網路釣魚、可疑資料外洩或惡意軟體感染，作為你的安全環境應用的起點。

如果你沒有任何正式的事件回應項目，那麼實作SOAR解決方案、事件回應平台或任意其他重要安全工具都會很困難。只要按照上述步驟去做，你就能更了解自己的狀況，知道自己該走什麼路線並達到什麼結果。

以上是如何打造SOAR的詳細內容。更多資訊請關注PHP中文網其他相關文章！