日前,安全牛联合日志易等代表性厂商发布了《企业安全运营自动化(SOAR)应用指南》报告(以下简称“报告”)。该报告从产品创新性、可用性以及市场表现等维度,研究分析了安全运营自动化的能力建设与落地应用。
日志易新一代SOAR,具备全面灵活的组件能力、剧本编排能力及任务管理能力,能够提供威胁检测、分析到自动化响应的闭环解决方案,以优秀的自动化安全运营能力与丰富的落地案例,被选为代表性厂商入编报告。
各行业数字化转型进程不断加快,运营体系中的各类设备、中间件、服务器、业务系统等IT资源数量猛增,运营人员短缺与威胁无法及时响应已经成为企业或组织安全运营亟待解决的问题。
SOAR(安全编排自动化与响应)技术因其在安全自动化响应方面独具优势,能够帮助企业解决安全事件响应过程中人员短缺、改进警报分类质量和速度等问题,受到更多企业用户的关注。
日志易安全产品总监施泽寰在报告发布会上表示:
“很多情况下,SOAR是与SIEM一起结合使用,能够为用户提供从检测、分析到响应的整体解决方案。在确保告警精准度的前提下,通过SOAR实现威胁告警的自动化响应,有利于提升企业的安全运营能力,所以我们建议SOAR与SIEM结合使用。日志易SOAR解决方案能够实现组件、剧本编排及任务管理功能。”
日志易新一代SOAR
日志易针对数百家客户的安全运营现状,深入分析行业需求,结合国内外前沿技术趋势,推出了新一代SOAR解决方案。
日志易SOAR具备对第三方设备或系统接口对接能力、剧本编排能力以及任务管理能力,以Event(事件)和Case(由某个事件或者某些事件形成的)作为驱动,通过预定义的Playbook(剧本)形成标准化流程,对不同类型的安全事件实现自动化响应,将企业的安全运营流程数字化管理,有效提高安全事件响应效率。
第三方设备或系统接口对接能力
通过内置基础组件与应用组件,以及开发Python脚本等方式,形成与第三方设备或系统对接的组件,定义好输入参数与输出字段,便于上下游组件的联合调用,最终作为安全事件的自动化响应流程剧本。
灵活的剧本编排能力
基于不同的剧本组件,可针对不同的安全事件,通过剧本组件,以可视化的方式将不同组件串联起来,形成标准化流程,并针对某类事件通过预先定义的剧本,实现自动化响应。
调查分析及任务管理能力
可自动形成响应任务,并在不同任务详情中,针对每笔安全事件的处置过程进行记录,将中间不同组件的执行内容作为输出进行展示。针对不同的任务流程可以细化为不同的子任务,并指定分配给不同的责任人,同时提供安全事件调查的能力,并可多人协同处置。
案例实践
安全数据采集
根据安全数据属性分类,利用丰富的数据解析模版,自动化采集并解析网络设备、安全设备、系统及微服务等数据源。
安全数据分析
通过流批处理计算框架,对实时以及历史数据进行聚合、关联、时序、降噪等分析,并构建复杂模型以提高安全事件检测能力与告警精确度。
安全事件调查分析
基于安全事件的网络与端点数据,以告警、事件和情报作为线索,实现攻击链路和时间轴的图谱展示,协助安全运营人员对事件进行深度分析,探索潜在威胁。
威胁处置
基于规则引擎,展示已触发威胁模型的告警,安全运营人员可结合资产、漏洞以及情报信息进行追踪与分析。
自动化分析响应
按照事件发生类别,联动威胁情报进行自动化分析,并根据安全事件的处理情况进行工单的派送。
实现价值
客户定制化
对接用户工单,根据需求对字段灵活展开配置,实现工单号查询返回默认信息输出的灵活性。
灵活迭代
根据用户需求快速灵活地适配功能,如根据其他扫描器的漏洞信息在漏洞中心创建工单等。
接轨云安全
过往某云环境安全告警数量过多(多日告警邮件数量过千),经过系统为其进行聚合后,相同告警数量达到阀值后发送邮件,有效减少重复告警邮件数量。
安全情报联动
在剧本中利用威胁情报平台查询IP、域名以及文件MD5值发现恶意内容,并将多云环境的漏洞扫描信息汇总到日志易SIEM安全大数据分析平台的漏洞中心。
客户评价
在日志易新一代SOAR解决方案的帮助下,我司实现了对安全数据的采集与范式化,能够对不同类型的安全事件进行关联分析并告警,有效提高了告警精确性。另外,通过与威胁情报、工单系统的联动,实现了根据不同安全事件类别自动查询威胁情报(恶意文件查询文件MD5值等),解决了长久以来困扰我们的工单系统碎片化问题,已经设置为工单自动派送或催办,提升了安全运营效率并降低了人力成本。