每一個成功的SOAR背后,都有一個成熟的SIEM
責編:gltian |2020-07-24 11:01:45安全運營領域SOAR技術,被那些需要分析大量警報的網絡安全部門視為救星。
但不幸的是,購買SOAR技術并不能“藥到病除”解決警報疲勞的問題。為了能夠將警報連接到自動劇本(Playbook),安全人員需要在SIEM中逐個查看用例,然后才能有效地將其與劇本關聯(lián)(這需要成熟的用例生命周期管理和用例框架)。為了實現(xiàn)最佳的安全自動化,你還需要考慮其他幾個上下文變量。
在上馬SOAR項目之前,用戶應當了解SOAR與傳統(tǒng)安全方案的重要區(qū)別:
1.首先要將SIEM用例類別、用例或SIEM規(guī)則映射到事件類別,然后再將這些類別映射到劇本。
2.三種劇本:
a.手動劇本(一系列手動任務)
b.半自動劇本(自動和手動子任務的混合)
c.全自動劇本(完全自動化)
3.四種類型的自動化:
a.防御性自動化(任何試圖防止威脅或風險的措施)
b.取證自動化(任何試圖獲取其他證據的措施)
c.進攻性自動化(任何主動調查資產的主動行動)
d.欺騙自動化(用于獲取或調試欺騙工具的任何工作)
4.三種不同的操作類別:
a.豐富(添加其他CMDB、CTI或環(huán)境數據)
b.升級(電子郵件、工單升級、chatops聊天運營通信)
c.緩解(更改設備配置)
下圖中,我們可以看到SIEM與SOAR的重要區(qū)別和關聯(lián):
根據上面這個SIEM-SOC自動化架構,我們可以得出成功部署SOAR解決方案的基本要求和關鍵要素:
1.成功的SOAR自動化架構需要良好的基礎IT組織。
a.更新且準確的CMDB
b.網絡層次結構及其重要性
c.數據分類
d.應用重要性
e.用戶關鍵性
f.SLA票證分類
g.關鍵應用程序列表
h.清晰的安全事件故障單類別
i.安全事件管理流程
2.SOAR自動化的關鍵成功因素在于SIEM集成、用例生命周期管理和用例框架。
a.可與您的SIEM解決方案緊密集成的SOAR解決方案
i.從SIEM的警報中提取其他相關日志;
ii.將警報中的每個字段映射到SOAR案例字段;
iii.能夠將SIEM嚴重性級別映射到SOAR嚴重性級別;
iv.在升級和評估SOAR解決方案上的SLA性能時,SIEM警報時間戳變得尤為重要,請確保這些時間戳保持不變。
b.成熟的用例生命周期管理流程
i.在用例和日志源導入優(yōu)先級列表旁可附加其他“自動化集成優(yōu)先級列表”。
c.具有清晰結構的用例框架
i.支持映射用例類別級別、用例級別或特定于規(guī)則級別的劇本的命名約定
ii.具備清晰的用例類別,以將整個類別歸類為劇本,以實現(xiàn)高效自動化。
以下示例中,SPEED用例框架的用例類別和命名約定與SIEM—SOAR用例流程進行了映射,以幫助我們深入了解兩個系統(tǒng)之間的相互依賴性。
實施SOAR解決方案依賴于現(xiàn)有IT組織中的一系列成熟服務,而SOAR自動化項目的成功將在很大程度上取決于這些成熟度。具體來說,對于已經擁有SIEM的企業(yè)來說,在上馬SOAR解決方案之前,需要確保SIEM的集成、用例生命周期管理和用例框架完全成熟。
通常很難找到一個組織,能夠做到全方位的完全成熟,但有一點極為重要,那就是能夠執(zhí)行自動API調用并獲取自動劇本所需的所有信息。
企業(yè)安全成熟度與SOAR之間的鴻溝,催生了新一代的云原生SIEM和SOAR解決方案,這些解決方案基于以API為中心的云體系結構,可以較為輕松地部署、升級和緩解企業(yè)環(huán)境中的安全問題。SIEM與SOAR目前面臨的問題,也為網絡安全智能方案(機器學習、自動化運營)提供了成長空間。因此,云計算和AI,將是SIEM和SOAR在安全運營環(huán)境中并存進化的兩條主要增長路徑。