解鎖「SOAR」在不同場景下的應用與實踐

最近兩年，SOAR安全編排自動化與響應（以下簡稱“SOAR”）越來越為人熟悉，今天我們就給大家介紹下SOAR在不同場景下的應用與實踐，以便大家找到適合自己的使用方式。

SOAR的核心能力

SOAR的全稱為“Security Orchestration, Automation and Response”，翻譯過來是安全編排自動化與響應。從流程上看可以使用觸發條件、分析研判、響應處置三個核心階段進行概述，這些工作流透過Playbook劇本進行承載及串並聯。

 SOAR核心能力

1、“Security安全”可以理解為SOAR應用於安全領域，同時可以基於安全的因素進行觸發。

2、“Orchestration編排”可以理解為分析研判。

3、“Response響應”可以分類至響應處置。

4、“Automation自動化”可以理解為自動化觸發。

Playbook劇本一旦形成，可以自動化執行相關任務，將複雜的事件響應過程和任務轉換為一致的、可重複的、可度量的工作流。

SOAR的使用場景概述

SOAR可以應用於演練保障快速處置、日常運維深度研判、人機協同經驗持續固化場景，從不同方面有效地提升企業安全管理能力。

演練保障—快速處置場景

在大型演練保障活動中，往往關注“短時間內大批次IP的快速封禁能力”，透過SOAR與網安全裝置對接，對全網不同出口的安全裝置下發封堵任務，實現對攻擊IP的快速封禁，縮短攻擊者橫向蔓延、提權等動作的時間。

批次匯入封禁場景

批次匯入封禁

在實際保障活動中，防禦者往往本著“寧可錯殺一千，不可放過一個”的原則進行防守，防禦者手裡可能持有大量的威脅IP地址集，在裝置上手動單條輸入IP往往會耗費量時間，可透過SOAR作為入口，將攻擊列表進行批次匯入，下聯不同安全裝置，實現大批次威脅IP的全量快速封禁。

威脅情報、地理庫匹配封禁場景

防禦者手中的威脅地址集往往來源於專門的NTI威脅情報包，可能是行業內共享或威脅情報廠商定期釋出的演練情報包，這些情報需要與SOAR進行關聯響應。

ISOP威脅情報、地理庫匹配

隨著運維習慣的固化，防禦者往往會結合業務系統的屬性對封禁進行持續性最佳化，對於平時沒有國外訪問的業務系統，防禦者也經常會直接對國外的源IP進行全網封禁。

雲地協同-威脅回溯消除場景

雲地協同-威脅回溯消除

在保障演練期間，攻擊者一般會使用一些0DAY攻擊手法進行攻擊，這時安全裝置往往是沒有規則對該事件進行檢測。雲端的專家團隊可以借用專業的攻防安全分析知識，透過雲地協同的工作模式，第一時間對攻擊者採用的攻擊手法、攻擊路徑、攻擊特徵進行分析，並及時下發給SOAR。

冰蠍回溯示意

藉助SOAR在現網提取到的請求內容、請求長度、返回值等資訊回溯出現網是否發生過冰蠍/哥斯拉Webshell/Incaseformat蠕蟲等安全事件，如果一旦實錘現網發生了類似攻擊，可以借用SOAR直接對源IP進行阻斷、對目的主機進行隔離下線操作，及時進行止損。

在演練保障過程中，SOAR實現了海量IP的批次封禁，演練的總結、演練報告編寫階段對SOAR提出了封禁歷史匯出要求，匯出的報表需要包括封禁的地址、響應的型別、執行的裝置、封禁的時間視窗、封禁的原因等資訊，以便滿足事後審計的要求。

日常運維—深度研判場景

在日常運維場景下，不同於快速響應場景，業主更加關注研判的精準性。因此，SOAR需要承擔更多的深度判斷的工作，將不同角度的分析判斷結果呈現出來，在一定程度上將人從機械重複的分析的工作中釋放出來。

基於威脅等級、攻擊頻次階梯處置場景

日常運維中，通常不只依託於威脅情報IP就簡單判斷一個威脅事件，SOAR需要結合危害級別、攻擊頻率對威脅事件的處置方法進行綜合判定。比如，某攻擊IP的風險值為高，且在30分鐘內發起了大於50次攻擊，則可透過SOAR對裝置發起全網封禁。

階梯封堵

經過持續實踐，運維者引入了階梯封堵的概念，攻擊IP第一次出現，封禁30分鐘；該IP第二次出現，封禁90分鐘；此IP第三次出現，直接封禁7天，以此類推。

SOAR與漏掃/全流量裝置告警關聯降噪場景

在日常運維中，運維人員的一大訴求就是專注於高保真告警，SOAR可透過攻擊方式與資產匹配的方式幫助監控人員實現告警降噪，過濾掉無用的告警。

SOAR與漏掃/全流量裝置告警降噪場景

比如某IPS裝置發現了某攻擊者採用一個基於Apache漏洞攻擊對某資產進行攻擊，SOAR可以呼叫漏掃裝置對資產進行掃描，如果檢測出是Apache資產，則可能是有效攻擊，SOAR可將告警推送至監控人員，以便進行重點關注。如果漏掃檢測出是IIS資產，則可能是無效攻擊，運維者可直接進行忽略。SOAR的研判降噪能力可以大幅度降低人工初篩研判分析的成本。

結合不同資產版本及全流量結果進行邏輯匹配

在此基礎上，SOAR也可以呼叫全流量裝置的會話內容，根據攻擊結果進一步鎖定是否需要對攻擊進行關注，若攻擊結果為成功，則可能需要重點關注；攻擊結果失敗，則可以忽略。

基於不同匹配結果進行聯動通知或處置

SOAR與沙箱/EDR組合辦公場景

在日常辦公場景下，SOAR也可以與沙箱及終端EDR軟體形成解決方案。如某惡意攻擊者希望透過對某目標物件郵箱傳送惡意檔案，來獲取某個使用者的電腦控制權，進而回傳一些核心資料。

SOAR與沙箱/EDR辦公場景

SOAR可以透過沙箱檔案檢測結果及PC上EDR監測到的異常行為對該攻擊進行研判，如沙箱檢測到郵件中的檔案無惡意，則SOAR不進行告警推送。如果沙箱檢測到惡意檔案，主機EDR未檢測到收件人PC上有異常行為，則只進行告警；如果沙箱檢測到惡意檔案，主機EDR檢測到了收件人PC有異常連線行為，該行為比較符合提權及木馬反連的攻擊順序，則直接將該收件人PC斷網隔離下線，避免造成更大的損失。

人機協同-經驗持續固化場景

SOAR在很大程度上還是需要人的經驗作為支撐，大型機構可藉助SOAR作為抓手，持續將安全工程師的分析研判經驗固化迭代為劇本，因此細分出了以下幾種使用場景。

 War-Room作戰室協同溝通場景

分析研判中，我們往往是透過工單流轉傳遞資訊，每個流轉節點一般只有一個人可以進行檢視與研判，該角色研判後，基本上就給出了最終的處置意見。此時，可藉助SOAR的分析研判環節構建一個虛擬的作戰室，作戰室可以理解為一個統一協同溝通的頁面，跨部門/廠商的人員都可以在該頁面中看到事件全部的上下文資訊及線索，不同角色工程師可以線上上集思廣益、分析討論，最終形成對事件處置的意見。整個研判處置的流程及原因都在虛擬作戰室中完整留存，事後可隨時覆盤。

知識庫持續固化劇本場景

經驗固化

日常運維中，研判人員會在不同的場景下做不同的判斷及處置選擇，經過不斷的調整最佳化，針對不同的安全事件，企業往往會形成較為完善且通用的研判處置流程，成熟度高的單位針對於不同事件會有完善且可執行的事件處置流程及制度，在安全事件發生後，在最短的時間內，以最少的溝通成本完成事件閉環處置。

SOAR可將適合於現網場景的處置經驗固化留存積累下來，固化形成劇本；當該安全事件再次發生時，SOAR可呼叫現網的不同安全裝置，實現具有豐富經驗安全工程師一樣的處置效果，將人從繁瑣重複的運營工作中最大化釋放出來，同時提高處置效率。

一些關於SOAR常見的問題科普

SOAR劇本的來源有哪些？

在綠盟科技SOAR平臺中，可以透過以下幾種方式構建劇本：

1、平臺內建劇本，可透過規則庫方式定期推送升級使用。

2、使用者基於實際場景，在內建劇本上調整或重新自定義其所需要的的劇本。

可以聯動哪些安全裝置？

SOAR是一個開放可擴充套件的架構，SOAR可以透過外掛與響應裝置建立聯動關係，只要裝置具有相關介面，即可被SOAR進行呼叫，目前綠盟科技SOAR已經實現主流廠商IPS、WAF、ADS、終端Agent的對接適配。在對接中，REST API應用比較廣泛，國外也在推廣OPEN C2相關標準。

結語

綠盟科技ISOP-SOAR安全編排自動化響應元件是遵循綠盟科技智慧安全3.0理念，自主研發的資訊保安事件分析管理、自動化響應處置元件，可依託於ISOP平臺進行交付。該系統已經在政府、交通、能源、運營商、醫療、金融等不同行業廣為使用，並在演練保障-快速處置、日常運維-深度研判及人機協同-經驗持續固化場景中發揮了不可替代的作用。

相關諮詢試用，請撥打熱線：400-818-6868或聯絡綠盟科技各分公司、辦事處的相關人員。