每一個(gè)成功的SOAR背后,都有一個(gè)成熟的SIEM

安全牛
企業(yè)安全成熟度與SOAR之間的鴻溝,催生了新一代的云原生SIEM和SOAR解決方案,這些解決方案基于以API為中心的云體系結(jié)構(gòu),可以較為輕松地部署、升級和緩解企業(yè)環(huán)境中的安全問題。

安全運(yùn)營領(lǐng)域SOAR技術(shù),被那些需要分析大量警報(bào)的網(wǎng)絡(luò)安全部門視為救星。

但不幸的是,購買SOAR技術(shù)并不能“藥到病除”解決警報(bào)疲勞的問題。為了能夠?qū)⒕瘓?bào)連接到自動劇本(Playbook),安全人員需要在SIEM中逐個(gè)查看用例,然后才能有效地將其與劇本關(guān)聯(lián)(這需要成熟的用例生命周期管理和用例框架)。為了實(shí)現(xiàn)最佳的安全自動化,你還需要考慮其他幾個(gè)上下文變量。

在上馬SOAR項(xiàng)目之前,用戶應(yīng)當(dāng)了解SOAR與傳統(tǒng)安全方案的重要區(qū)別:

1.首先要將SIEM用例類別、用例或SIEM規(guī)則映射到事件類別,然后再將這些類別映射到劇本。

2.三種劇本:

a.手動劇本(一系列手動任務(wù))

b.半自動劇本(自動和手動子任務(wù)的混合)

c.全自動劇本(完全自動化)

3.四種類型的自動化:

a.防御性自動化(任何試圖防止威脅或風(fēng)險(xiǎn)的措施)

b.取證自動化(任何試圖獲取其他證據(jù)的措施)

c.進(jìn)攻性自動化(任何主動調(diào)查資產(chǎn)的主動行動)

d.欺騙自動化(用于獲取或調(diào)試欺騙工具的任何工作)

4.三種不同的操作類別:

a.豐富(添加其他CMDB、CTI或環(huán)境數(shù)據(jù))

b.升級(電子郵件、工單升級、chatops聊天運(yùn)營通信)

c.緩解(更改設(shè)備配置)

下圖中,我們可以看到SIEM與SOAR的重要區(qū)別和關(guān)聯(lián):

根據(jù)上面這個(gè)SIEM-SOC自動化架構(gòu),我們可以得出成功部署SOAR解決方案的基本要求和關(guān)鍵要素:

1.成功的SOAR自動化架構(gòu)需要良好的基礎(chǔ)IT組織。

a.更新且準(zhǔn)確的CMDB

b.網(wǎng)絡(luò)層次結(jié)構(gòu)及其重要性

c.數(shù)據(jù)分類

d.應(yīng)用重要性

e.用戶關(guān)鍵性

f.SLA票證分類

g.關(guān)鍵應(yīng)用程序列表

h.清晰的安全事件故障單類別

i.安全事件管理流程

2.SOAR自動化的關(guān)鍵成功因素在于SIEM集成、用例生命周期管理和用例框架。

a.可與您的SIEM解決方案緊密集成的SOAR解決方案

i.從SIEM的警報(bào)中提取其他相關(guān)日志;

ii.將警報(bào)中的每個(gè)字段映射到SOAR案例字段;

iii.能夠?qū)IEM嚴(yán)重性級別映射到SOAR嚴(yán)重性級別;

iv.在升級和評估SOAR解決方案上的SLA性能時(shí),SIEM警報(bào)時(shí)間戳變得尤為重要,請確保這些時(shí)間戳保持不變。

b.成熟的用例生命周期管理流程

i.在用例和日志源導(dǎo)入優(yōu)先級列表旁可附加其他“自動化集成優(yōu)先級列表”。

c.具有清晰結(jié)構(gòu)的用例框架

i.支持映射用例類別級別、用例級別或特定于規(guī)則級別的劇本的命名約定

ii.具備清晰的用例類別,以將整個(gè)類別歸類為劇本,以實(shí)現(xiàn)高效自動化。

以下示例中,SPEED用例框架的用例類別和命名約定與SIEM—SOAR用例流程進(jìn)行了映射,以幫助我們深入了解兩個(gè)系統(tǒng)之間的相互依賴性。

實(shí)施SOAR解決方案依賴于現(xiàn)有IT組織中的一系列成熟服務(wù),而SOAR自動化項(xiàng)目的成功將在很大程度上取決于這些成熟度。具體來說,對于已經(jīng)擁有SIEM的企業(yè)來說,在上馬SOAR解決方案之前,需要確保SIEM的集成、用例生命周期管理和用例框架完全成熟。

通常很難找到一個(gè)組織,能夠做到全方位的完全成熟,但有一點(diǎn)極為重要,那就是能夠執(zhí)行自動API調(diào)用并獲取自動劇本所需的所有信息。

企業(yè)安全成熟度與SOAR之間的鴻溝,催生了新一代的云原生SIEM和SOAR解決方案,這些解決方案基于以API為中心的云體系結(jié)構(gòu),可以較為輕松地部署、升級和緩解企業(yè)環(huán)境中的安全問題。SIEM與SOAR目前面臨的問題,也為網(wǎng)絡(luò)安全智能方案(機(jī)器學(xué)習(xí)、自動化運(yùn)營)提供了成長空間。因此,云計(jì)算和AI,將是SIEM和SOAR在安全運(yùn)營環(huán)境中并存進(jìn)化的兩條主要增長路徑。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論

本月熱門