怎麼選擇SOAR解決方案

SOAR(安全編排、自動化與回應)被視為下一代SOC的標誌性方案，同時也是提升安全營運效率的關鍵機制。

眾所周知，下一代SOC的重點是提高檢測和回應能力。然而，現實情況表明，SOC營運團隊面臨巨大壓力，誤報率不斷攀升，平均反應時間（MTTR）始終難以提高。因此，安全業界和企業安全團隊對SOAR解決方案寄予厚望，期望透過部署SOAR在檢測和回應威脅方面大幅提高SOC效率。

甲方企業必須明白，若未能正確實施SOAR解決方案，也將面臨新的挑戰。如果沒有適當的規劃，採用安全自動化工具的企業可能會成為常見失誤的受害者，這些失誤會迅速導致效率降低和安全狀況變差。

總之，企業選擇合適的SOAR解決方案，需要考慮多種因素。以下是幾位國外安全專家對SOAR選型給予的見解與建議：

Palo Alto Networks產品策略副總裁Rishi Bhargava

##SOAR解決方案的實施不是簡單的從「缺少」到「擁有」的過程。企業需要評估其現有的流程和安全工具堆疊，然後選擇相應的部署方法。

• 生態系統至關重要：SOAR解決方案需要能夠集成，涵蓋您目前使用的供應商工具。應該提供內部開發或自訂整合的選項。一個可靠的SOAR解決方案應該能夠與企業的發展同步，並不斷改進。將檢測、豐富化和執行等流程以及相關工具完美整合。

• 強大的工單和案例管理功能：事件回應很少以自動化來開始和結束。分析人員總是會參與事件調查。請問供應商：您的SOAR平台是否原生提供本地案例管理，還是與相關工具整合?您可以重構事件時間表嗎?您無需大量編碼即可輕鬆自訂預案嗎?

• 整合的威脅情報管理：手動威脅情報工作流程是耗時的，並且無法擴展，因此，整合的威脅情報管理自動化功能將大大減少您的平均回應時間。

• 靈活的部署：SOAR平台應支援本地部署和雲端託管部署。對於分散式環境，請尋找可擴展並支援完全多租戶環境的方案。

無論您在選擇或實作SOAR的哪個階段，上述注意事項都會確保您所在的企業處於最佳路徑。

Micro Focus SecOps產品經理GamzeBingöl

#SOAR解決方案的根本目的是透過自動化和編排技術來幫助安全人員提高偵測和回應網路威脅的能力。

• 透過消除誤報並自動執行重複性活動，網路安全自動化的SOAR自動化功能能夠自動處理大多數威脅。使用SOAR自動執行耗時且重複的任務，使分析師有更多時間專注於需要人工幹預的案例。

• SOAR的即開即用功能應該是場景驅動、隨時可用的自動預案。有可隨時使用的計劃能夠幫助團隊將回應時間從數小時壓縮至數分鐘，並提高分析員的工作效率。

• 相較於孤立的安全工具，整合的工具集更為有用，因為它們能夠相互補充。 SOAR很重要的一點就是需要與企業中現有安全的解決方案、IT基礎結構和技術集成，並透過加強協作和編排所有要素(就像它們都是同一解決方案的一部分一樣)，充當整個安全環境的集中式樞紐。

• KPI和指標：SOAR關於案例和分析師的詳細報告可以幫助管理人員了解歷史事件並更好地規劃未來的方向。

Exabeam歐洲、中東和非洲地區安全策略高級總監Richard Cassidy

SOAR解決方案應使團隊能夠跨越大量不同的資料流自動進行識別和回應流程，從而使威脅和漏洞的優先順序劃分幾乎無縫銜接，並且在安全營運效率上要高得多。

如果實施正確，安全營運中心(SOC)可以從使用SOAR解決方案中受益，從而幫助他們更快，更有效地應對威脅。

將SOAR與其他安全工具整合在一起，例如安全資訊和事件管理(SIEM)，可以透過自動化來改變SOC團隊的業務和技術成果，同時還可以提高效率。

企業可以使用SOAR來增強SIEM的功能，從而提供全面的解決方案。 SIEM以一種有用的方式收集和儲存數據，SOAR可以使用它來自動調查事件並做出回應，並減少對手動操作的需求。

而且，對於SOC團隊迄今為止最大的挑戰——誤報，SOAR解決方案可以幫助採集訊息，對重複警報進行優先排序和合併，以減少誤報的數量。

科迪康乃爾大學首席策略官，Swinlane

在考慮SOAR解決方案時，企業需要從兩個角度進行思考：安全運營自動化需要解決的問題是什麼，需求是什麼?將來如何利用自動化?

通常情況下，您使用的工具或針對對手的策略是動態的，而不是靜態的。因此，您應該選擇可以快速整合快速擴充的解決方案——不僅足以滿足當今的需求，而且還能夠滿足未來的需求。

其次，當您查看攻擊者技術的變化時，您是否認為攻擊者也會擁抱自動化?事實上攻擊者不僅使用自動化來運行掃描，而且還使用DevOps方法來為每個攻擊目標建構唯一的基礎架構。

如果這種情況繼續下去，您將需要一個自動化平台，該平台能夠在無需人工幹預的情況下，對案件和警報中的危害指標(IOC)和其他情報進行追溯和調查。

Splunk安全佈道者Matthias Maier

選擇SOAR平台時應考慮幾個不同的標準，以及使用哪些標準：

(1)核心能力

使用者可以輕鬆辨認這些作為SOAR平台的基本組成部分和功能。其中的一些重要組件例如編排器、負責指導和監督與給定安全方案有關的所有活動。編排器需要優化利用可用資源，這一點至關重要。另一個是自動化引擎。由於自動化任務是獨立運作的，並且在很大程度上不需要人工幹預，因此平台可擴展性和可擴展性等屬性是要考慮的重要標準。案例和預案管理也應予以考慮。

(2) 平台屬性

這屬於定性標準。透過觀察和與平台的交互，可以更頻繁地評估這些標準。 SOAR平台必須支援強大的社區模型，並且易於共享應用程式整合和劇本。了解SOAR平台在垂直和水平方向上如何擴展也很重要。隨著時間的推移添加用例，平台上將增加額外的處理負載。開放、行動友善且易於使用的平台也是關鍵考慮因素。

(3) 商業考量

公司提供的增值服務包括旨在增強其核心技術的項目，如培訓和支援。無論公司的核心技術多麼出色，在傳統上被認為是對購買者的決策過程產生重大影響的產品之外的其他因素也需要給予關注。

SIRP執行長Faiz Ahmad Shuja

一項研究發現，安全專家平均每天收到840個安全警報。由於大多數警報大約需要15-30分鐘才能完成手動調查，因此對於任何安全團隊而言，這幾乎是一項不可能的任務。

使盡可能多的工作負載自動化將使安全團隊能夠跟上步伐，並確保重要的威脅不會被忽略，SOAR平台是最有效解決方案之一。

成功整合SOAR的最重要步驟是為所有安全流程提供可靠的文件。對於所有主要流程，都需要有完善的回應手冊。例如，如果偵測到潛在的網路釣魚電子郵件，則回應可能包括調查寄件者的地址和偵測欺騙的跡象，對所有URL的信譽得分和惡意腳本進行探測。一旦記錄了所有這些過程，SOAR平台就可以開始自動執行它們。

另外，組織需要確保他們選擇的SOAR平台具有強大的整合能力。 This platform will need to seamlessly integrate with their existing SIEM solution and connect with other security solutions and broader IT infrastructure.。

Siemplify執行長Amos Stern

安全協調、自動化和回應，能夠解決安全團隊長久以來面臨的一些最令人沮喪的挑戰。

正確的SOAR平台，加上良好的實施，可以幫助減少警報過載，將組織所使用的多種不同的檢測工具結合在一起，並建立自動化和可重複的流程以減少響應時間，同時又使安全分析人員擺脫了繁瑣且通常是繁瑣的手動工作。使他們可以專注於高價值的工作，例如搜尋威脅和建立更具彈性的安全基礎架構。

將該句重寫如下： 核心目標是整合各種第三方檢測工具，透過使用本地API獲取警報並實現工作流程的自動化。

但是，最好的SOAR可以充當集中式工作台。像Salesforce一樣思考，這也適用於SOC分析師。您應該尋找的SOAR解決方案應具備以下高級功能：

• 案例管理(特別是對與上下文相關的警報進行分組的能力);

• 整合的威脅情報;

• 協作(在新的遠端辦公環境中尤其重要);

• 儀表板和KPI (以提供可見性和洞察力);

• 危機管理(升級)在發生重大事件時進行跨組織的回應。

#

以上是怎麼選擇SOAR解決方案的詳細內容。更多資訊請關注PHP中文網其他相關文章！