SOAR(Security Orchestration,Automation and Response),简单字面来讲就是安全编排、安全自动化、安全响应。人们往往忽略了威胁情报(Threat intelligence)。
创新互联主要从事成都做网站、成都网站制作、网页设计、企业做网站、公司建网站等业务。立足成都服务南明,十余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575
实际上根据Gartner的定义,一个优秀的SOAR会将事件响应、剧本编排、自动化、威胁情报、记录、工作流程集成在一个平台上。
安全分析师通过平台根据自身的经验,进行场景分析,然后剧本设计,将流程固化,工作标准化;从而辅助安全工作开展分析,运营,处置,响应。
过多的概念性知识就不再赘述了,Google搜搜或者找两个产品的白皮书,文章大把。
1、安全设备集中化。
这里的意思并不是通过SOAR进行集中管理安全设备,而是通过SOAR平台将所需安全设备的功能集中起来,并且这样可以按实际日常工作流程中,按需调用你需要的功能。
2、节省工作时间。
SOAR是通过代码实现自动化工作流程,会减少你工作中某些机械工作所耗掉的时间,这个不必多说。老生常谈的场景:封禁IP。
3、打通与其他部门协作。
一般在某些大企业里,基础设施部,安全运营部,这个部,那个部,其实有些时候并没有想象中那么容易推进。工作越久越发现内部往往是最难推动的,恰恰有时和外部沟通很容易。:(
举个例子,比如我需要封许多IP,可能想象中其实就是防火墙的一条Deny安全策略,地址对象里录一些IP,其实不复杂,但是一次两次很容易,三次四次可能就不是那么好推动。只是打个比方,大家懂表达的意思即可。
4、提升工作效率。
通过SOAR打通其他安全设备,可以辅助安全工作开展。
例如:IP信誉查询;批量处置安全事件;安全事件的告警通知;终端安全扫描;主机断网下线;工单下发等等。
将工作中某些流程进行融合,提升工作效率。
5、灵活编排设计。
根据场景中需要解决的问题,选择对接不同安全设备,自定义条件逻辑判断,编排剧本流程。
结合目前工作中体验,SOAR其实可以简要概括四个模块。
SOAR的模块分类:
SOAR的应用场景分类:
之所以会分为自动化与半自动化,是由于某些场景由于对业务风险的考虑或输入的限制,导致需要不能完全依赖于自动流程,需要人工分析处置或流程审批。
SOAR的主要应用场景:
运维:
安全:
老生常谈,封IP。
可能你觉得这个没难度,简单。但是这个是最实用的。往往实用的才是最好的。
PS:这个剧本笔者在设计时候,默认已与网络部门达成共识,提前规定好Deny的安全策略置顶,并且协商好地址对象的名称格式。所以就没涉及封禁策略与其他安全策略间会不会有优先级冲突或策略交叉的情景。
其实对照这个剧本,你可以发现一个简单的IP封禁,其实涉及了:
例如:地址对象的上限数量,地址组的上限。(一般地址对象上限4096,但是也有不一般的,例如某XXX,地址对象的上限128个……)
例如:是否需要手工输入IP封禁或者直接取某些精准告警的IP,那可能输入的最大值是多少,防火墙这个接口并发是否支持同时写入这么多的IP到地址对象中?
举一个例子:下午向研发同事请教他的经验。我才了解到,实际有时候接到的需求根本不会对地址对象的上限做校验,实际上就是无脑地将IP写入地址对象中。当时我觉得这样不是很合理,所以我问:“那地址对象如果上限了,怎么办???直接会判断新建地址对象写入?”他给我的回答是:”写不下就直接报错呗。其实往往实际上不是我不想做校验,是有的防火墙的接口压根不给我这个查询的权限,我也没有办法。:( “
所以设计剧本时候,需要多想想这个剧本中某些环节的合理性。
产品只是辅助提升人们工作效率的工具,最重要的还是人、工具、流程的结合。其实并没有垃圾的工具,只要我们物尽其用!
PS:非常感谢你能看到这里。
笔者工作时间并不长,还是个孩子,某些写的不对的地方轻喷哈,欢迎一起交流讨论,:)
本文作者:毛驴席地而坐, 转载请注明来自FreeBuf.COM
分享名称:安全运营之浅谈SOAR剧本设计
转载来于:http://www.shufengxianlan.com/qtweb/news28/180128.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联