1.前言
security orchestration, automation and response(soar)安全編排和自動化響應,是gartner2023年提出的新概念。gartner預計到2023年,大概30%的大中型企業會進行soar平台的建設。
2.概述
目前來說,一般大中型企業都已經建立了相對比較完備的安全運營中心soc,為什麼又要提出soar的概念呢。主要是因為在soc的運營過程中,面臨以下的一些問題:
soar平台主要就是解決這些問題,其核心概念主要包括:
與過去相比,現在的安全運營中心需要整合大量的系統,運維的複雜度也大大增加,事件的響應與處理需要應對各種各樣的複雜的情況。要滿足這些需求,必然需要的提供豐富的事件響應與處理編排能力,可以進行流程定製,流程執行,流程監控,結果的驗證與評估,流程再造。
當前安全分析師在解決安全問題時所需要的資料,分析的方法與過去相比,其工作量和內容都大大增加。資料是海量的資料,大量的資料需要使用自動化方式去處理。既可以節省時間,人力,成本,也避免人在處理大量資料的過程中帶來的誤差或失誤。
系統提供編排與自動化執行能力,也需要對流程和自動化執行的結果進行有效的評估,需要提供合理的評估方法,可量化的評估指標,根據評估結果,才可以進行流程再造,優化我們的編排內容,帶來整個安全運營中心的效率提公升。
3.soar平台基本功能需求
針對soc運營的一些問題,我們可以看出soar平台需要具備的一些基本功能:
1.系統能夠對接主流的安全管理平台的管理資料,可以對安全事件進行二次分析和聚合。
2.具備流程化自動執行功能,能夠依據場景或案例,制定執行計畫和執行指令碼,並具備自動、半自動和手動執行的能力。
3.對執行效果可以提供合適的kpi進行評估,反饋,在修改的能力。
4.執行過程能夠整合既有的知識庫,經驗。
5.和威脅情報對接能力,多協議支援。
6.可定製的視覺化分析和展現,可以定製dashboard展現內容。
4.soar和soc的關係。
有一部分人認為soar的功能是包含在soc中的,比如現在國內的一些安全廠家,也都在soc中新增事件處理,調查,響應功能。但是專業的事還是需要專業的軟體來執行,soar更偏重於安全分析師所做的工作,側重於過程,比如把對於一封釣魚郵件的分析,通過程式自動化的執行。而且一套好的soar平台,是能夠整合不同廠家的相關產品,不管是siem,soc,還是ti相關產品。soc產品更偏重於事件的採集,分析與告警,響應在soc中更多的是手動的的操作。
mac平台latex初探
包管理 texlive自帶包管理工具tlmgr,命令列任意目錄下,輸入tlmgr help,檢視幫助,裡面有 install update等用法。注意 第一次使用時需要 tlmgr usermode init usertree初始化 每次使用時,很多功能都需要加上 usermode,否則提示perm...
windows安裝使用小公尺soar
安裝完成後,cmd中輸入 go version 出現版本資訊。如果報錯,將將c go bin 你的安裝路徑 加入環境變數。我放到了d program files x86 soar資料夾下,將soar.windows amd64重新命名為soar.exe 你也可以將這個目錄加入到環境變數中。cmd中 ...
ARM平台指令虛擬化初探
0x00 什麼是 虛擬化?虛擬機器保護是這幾年比較流行的軟體保護技術。這個詞源於俄羅斯的著名軟體保護軟體 vmprotect 以此為開端引起了軟體保護殼領域的革命,各大軟體保護殼都將虛擬機器保護這一新穎的技術加入到自己的產品中。虛擬化是將程式 編譯為虛擬機器指令即虛擬 自己定義的 集 通過虛擬cpu...