资安协作自动化应变
资安协作自动化应变(Security orchestration, automation and response)简称SOAR,是一组网路安全的技术,可以让组织针对一些资讯安全事件进行自动化的处理。此技术会搜集资安监控中心监控的输入,像安全性资讯与事件管理(SIEM)系统、网路威胁情报平台(TIP)等系统,以及其他安全技术的警告,协助定义标准事故响应活动,并且进行优先排序以及推动相关活动[1][2][3]。
组织会使用SOAR平台提升实体及网路安全作业的效率[4]。SOAR让管理者可以在无需人工介入的情形下处理安全警讯。当网路工具侦测到安全事件,SOAR会依安全事件的本质,发送警报给管理者,或是进行其他的应变措施[2]。
组成
资安协作自动化应变可以分为协作、自动化以及事件响应三部份。
协作(Orchestration)元件连接资讯系统中不同的安全工具以及系统。会让客户建立的应用程式和系统内建的安全工具整合,可以一起运作。此元件也会连接不同的端点、防火墙、用户安全分析工具[5]。
自动化(Automation)元件会处理协作元件搜集的大量资讯,透过机器学习过程来分析。SOAR会处理大量记录分析的人工工作,并且处理ticket请求、弱点检查以及稽核流程[5]。
事件响应(Incident response)元件让资安监控中心在识别到潜在威胁时,可以进行回应。此元件也可以自动化处理事件后的活动(像是威胁情资分享)[5]。
营运手册和执行脚本
配合营运手册和执行脚本,SOAR让管理者可以定义潜在的事件和响应[2]。
营运手册(playbook)是叙述如何验证安全事件及应该如何响应的文件。营运手册的目的是说明执行脚本需要作的事。若SOAR 失效, 可以用营运手册作人工处理的备案[2]。
执行脚本(runbook)是用自动化工具实现营运手册中列的工作,让系统可以进行事先定义的措施,以缓和威胁的影响[2]。
参考资料
- ^ Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary. Gartner. [2023-04-28]. (原始内容存档于2024-03-06) (英语).
- ^ 2.0 2.1 2.2 2.3 2.4 Mike Chapple, James Michael Stewart, Darril Gibson. (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide Sybex. 2021: 845–846. ISBN 978-1-119-78623-8 (英语).
- ^ Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases. D3 Security. [2023-06-21]. (原始内容存档于2024-04-10) (英语).
- ^ What is SOAR (Security Orchestration, Automation and Response)? | Definition from TechTarget. Security. [2023-04-28]. (原始内容存档于2024-04-07) (英语).
- ^ 5.0 5.1 5.2 The Important Role of SOAR in Cybersecurity. Security Intelligence. [2023-04-28]. (原始内容存档于2023-09-24) (美国英语).