每一个成功的SOAR背后,都有一个成熟的SIEM

安全运营领域SOAR技术,被那些需要分析大量警报的网络安全部门视为救星。

但不幸的是,购买SOAR技术并不能“药到病除”解决警报疲劳的问题。为了能够将警报连接到自动剧本(Playbook),安全人员需要在SIEM中逐个查看用例,然后才能有效地将其与剧本关联(这需要成熟的用例生命周期管理和用例框架)。为了实现最佳的安全自动化,你还需要考虑其他几个上下文变量。

在上马SOAR项目之前,用户应当了解SOAR与传统安全方案的重要区别:

1.首先要将SIEM用例类别、用例或SIEM规则映射到事件类别,然后再将这些类别映射到剧本。

2.三种剧本:

a.手动剧本(一系列手动任务)
b.半自动剧本(自动和手动子任务的混合)
c.全自动剧本(完全自动化)

3.四种类型的自动化:

a.防御性自动化(任何试图防止威胁或风险的措施)
b.取证自动化(任何试图获取其他证据的措施)
c.进攻性自动化(任何主动调查资产的主动行动)
d.欺骗自动化(用于获取或调试欺骗工具的任何工作)

4.三种不同的操作类别:

a.丰富(添加其他CMDB、CTI或环境数据)
b.升级(电子邮件、工单升级、chatops聊天运营通信)
c.缓解(更改设备配置)

下图中,我们可以看到SIEM与SOAR的重要区别和关联:

根据上面这个SIEM-SOC自动化架构,我们可以得出成功部署SOAR解决方案的基本要求和关键要素:

1.成功的SOAR自动化架构需要良好的基础IT组织。

a.更新且准确的CMDB
b.网络层次结构及其重要性
c.数据分类
d.应用重要性
e.用户关键性
f.SLA票证分类
g.关键应用程序列表
h.清晰的安全事件故障单类别
i.安全事件管理流程

2.SOAR自动化的关键成功因素在于SIEM集成、用例生命周期管理和用例框架。

a.可与您的SIEM解决方案紧密集成的SOAR解决方案

i.从SIEM的警报中提取其他相关日志;
ii.将警报中的每个字段映射到SOAR案例字段;
iii.能够将SIEM严重性级别映射到SOAR严重性级别;
iv.在升级和评估SOAR解决方案上的SLA性能时,SIEM警报时间戳变得尤为重要,请确保这些时间戳保持不变。

b.成熟的用例生命周期管理流程

i.在用例和日志源导入优先级列表旁可附加其他“自动化集成优先级列表”。

c.具有清晰结构的用例框架

i.支持映射用例类别级别、用例级别或特定于规则级别的剧本的命名约定
ii.具备清晰的用例类别,以将整个类别归类为剧本,以实现高效自动化。

以下示例中,SPEED用例框架的用例类别和命名约定与SIEM—SOAR用例流程进行了映射,以帮助我们深入了解两个系统之间的相互依赖性。

实施SOAR解决方案依赖于现有IT组织中的一系列成熟服务,而SOAR自动化项目的成功将在很大程度上取决于这些成熟度。具体来说,对于已经拥有SIEM的企业来说,在上马SOAR解决方案之前,需要确保SIEM的集成、用例生命周期管理和用例框架完全成熟。

通常很难找到一个组织,能够做到全方位的完全成熟,但有一点极为重要,那就是能够执行自动API调用并获取自动剧本所需的所有信息。

企业安全成熟度与SOAR之间的鸿沟,催生了新一代的云原生SIEM和SOAR解决方案,这些解决方案基于以API为中心的云体系结构,可以较为轻松地部署、升级和缓解企业环境中的安全问题。SIEM与SOAR目前面临的问题,也为网络安全智能方案(机器学习、自动化运营)提供了成长空间。因此,云计算和AI,将是SIEM和SOAR在安全运营环境中并存进化的两条主要增长路径。

上一篇:最终议程!EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

下一篇:后疫情时代,以安全赋能企业数字化发展