压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全運營領域SOAR技術，被那些需要分析大量警報的網絡安全部門視為救星。

但不幸的是，購買SOAR技術并不能“藥到病除”解決警報疲勞的問題。為了能夠將警報連接到自動劇本（Playbook），安全人員需要在SIEM中逐個查看用例，然后才能有效地將其與劇本關聯（這需要成熟的用例生命周期管理和用例框架）。為了實現最佳的安全自動化，你還需要考慮其他幾個上下文變量。

在上馬SOAR項目之前，用戶應當了解SOAR與傳統安全方案的重要區別：

1.首先要將SIEM用例類別、用例或SIEM規則映射到事件類別，然后再將這些類別映射到劇本。

2.三種劇本：

a.手動劇本（一系列手動任務）
b.半自動劇本（自動和手動子任務的混合）
c.全自動劇本（完全自動化）

3.四種類型的自動化：

a.防御性自動化（任何試圖防止威脅或風險的措施）
b.取證自動化（任何試圖獲取其他證據的措施）
c.進攻性自動化（任何主動調查資產的主動行動）
d.欺騙自動化（用于獲取或調試欺騙工具的任何工作）

4.三種不同的操作類別：

a.豐富（添加其他CMDB、CTI或環境數據）
b.升級（電子郵件、工單升級、chatops聊天運營通信）
c.緩解（更改設備配置）

下圖中，我們可以看到SIEM與SOAR的重要區別和關聯：

根據上面這個SIEM-SOC自動化架構，我們可以得出成功部署SOAR解決方案的基本要求和關鍵要素：

1.成功的SOAR自動化架構需要良好的基礎IT組織。

a.更新且準確的CMDB
b.網絡層次結構及其重要性
c.數據分類
d.應用重要性
e.用戶關鍵性
f.SLA票證分類
g.關鍵應用程序列表
h.清晰的安全事件故障單類別
i.安全事件管理流程

2.SOAR自動化的關鍵成功因素在于SIEM集成、用例生命周期管理和用例框架。

a.可與您的SIEM解決方案緊密集成的SOAR解決方案

i.從SIEM的警報中提取其他相關日志；
ii.將警報中的每個字段映射到SOAR案例字段；
iii.能夠將SIEM嚴重性級別映射到SOAR嚴重性級別；
iv.在升級和評估SOAR解決方案上的SLA性能時，SIEM警報時間戳變得尤為重要，請確保這些時間戳保持不變。

b.成熟的用例生命周期管理流程

i.在用例和日志源導入優先級列表旁可附加其他“自動化集成優先級列表”。

c.具有清晰結構的用例框架

i.支持映射用例類別級別、用例級別或特定于規則級別的劇本的命名約定
ii.具備清晰的用例類別，以將整個類別歸類為劇本，以實現高效自動化。

以下示例中，SPEED用例框架的用例類別和命名約定與SIEM—SOAR用例流程進行了映射，以幫助我們深入了解兩個系統之間的相互依賴性。

實施SOAR解決方案依賴于現有IT組織中的一系列成熟服務，而SOAR自動化項目的成功將在很大程度上取決于這些成熟度。具體來說，對于已經擁有SIEM的企業來說，在上馬SOAR解決方案之前，需要確保SIEM的集成、用例生命周期管理和用例框架完全成熟。

通常很難找到一個組織，能夠做到全方位的完全成熟，但有一點極為重要，那就是能夠執行自動API調用并獲取自動劇本所需的所有信息。

企業安全成熟度與SOAR之間的鴻溝，催生了新一代的云原生SIEM和SOAR解決方案，這些解決方案基于以API為中心的云體系結構，可以較為輕松地部署、升級和緩解企業環境中的安全問題。SIEM與SOAR目前面臨的問題，也為網絡安全智能方案（機器學習、自動化運營）提供了成長空間。因此，云計算和AI，將是SIEM和SOAR在安全運營環境中并存進化的兩條主要增長路徑。