安全运营领域SOAR技术,被那些需要分析大量警报的网络安全部门视为救星。
但不幸的是,购买SOAR技术并不能“药到病除”解决警报疲劳的问题。为了能够将警报连接到自动剧本(Playbook),安全人员需要在SIEM中逐个查看用例,然后才能有效地将其与剧本关联(这需要成熟的用例生命周期管理和用例框架)。为了实现最佳的安全自动化,你还需要考虑其他几个上下文变量。
在上马SOAR项目之前,用户应当了解SOAR与传统安全方案的重要区别:
1.首先要将SIEM用例类别、用例或SIEM规则映射到事件类别,然后再将这些类别映射到剧本。
2.三种剧本:
a.手动剧本(一系列手动任务)
b.半自动剧本(自动和手动子任务的混合)
c.全自动剧本(完全自动化)
3.四种类型的自动化:
a.防御性自动化(任何试图防止威胁或风险的措施)
b.取证自动化(任何试图获取其他证据的措施)
c.进攻性自动化(任何主动调查资产的主动行动)
d.欺骗自动化(用于获取或调试欺骗工具的任何工作)
4.三种不同的操作类别:
a.丰富(添加其他CMDB、CTI或环境数据)
b.升级(电子邮件、工单升级、chatops聊天运营通信)
c.缓解(更改设备配置)
下图中,我们可以看到SIEM与SOAR的重要区别和关联:
根据上面这个SIEM-SOC自动化架构,我们可以得出成功部署SOAR解决方案的基本要求和关键要素:
1.成功的SOAR自动化架构需要良好的基础IT组织。
a.更新且准确的CMDB
b.网络层次结构及其重要性
c.数据分类
d.应用重要性
e.用户关键性
f.SLA票证分类
g.关键应用程序列表
h.清晰的安全事件故障单类别
i.安全事件管理流程
2.SOAR自动化的关键成功因素在于SIEM集成、用例生命周期管理和用例框架。
a.可与您的SIEM解决方案紧密集成的SOAR解决方案
i.从SIEM的警报中提取其他相关日志;
ii.将警报中的每个字段映射到SOAR案例字段;
iii.能够将SIEM严重性级别映射到SOAR严重性级别;
iv.在升级和评估SOAR解决方案上的SLA性能时,SIEM警报时间戳变得尤为重要,请确保这些时间戳保持不变。
b.成熟的用例生命周期管理流程
i.在用例和日志源导入优先级列表旁可附加其他“自动化集成优先级列表”。
c.具有清晰结构的用例框架
i.支持映射用例类别级别、用例级别或特定于规则级别的剧本的命名约定
ii.具备清晰的用例类别,以将整个类别归类为剧本,以实现高效自动化。
以下示例中,SPEED用例框架的用例类别和命名约定与SIEM—SOAR用例流程进行了映射,以帮助我们深入了解两个系统之间的相互依赖性。
实施SOAR解决方案依赖于现有IT组织中的一系列成熟服务,而SOAR自动化项目的成功将在很大程度上取决于这些成熟度。具体来说,对于已经拥有SIEM的企业来说,在上马SOAR解决方案之前,需要确保SIEM的集成、用例生命周期管理和用例框架完全成熟。
通常很难找到一个组织,能够做到全方位的完全成熟,但有一点极为重要,那就是能够执行自动API调用并获取自动剧本所需的所有信息。
企业安全成熟度与SOAR之间的鸿沟,催生了新一代的云原生SIEM和SOAR解决方案,这些解决方案基于以API为中心的云体系结构,可以较为轻松地部署、升级和缓解企业环境中的安全问题。SIEM与SOAR目前面临的问题,也为网络安全智能方案(机器学习、自动化运营)提供了成长空间。因此,云计算和AI,将是SIEM和SOAR在安全运营环境中并存进化的两条主要增长路径。