資安協作自動化應變
資安協作自動化應變(Security orchestration, automation and response)簡稱SOAR,是一組網絡安全的技術,可以讓組織針對一些資訊安全事件進行自動化的處理。此技術會搜集資安監控中心監控的輸入,像安全性資訊與事件管理(SIEM)系統、網絡威脅情報平臺(TIP)等系統,以及其他安全技術的警告,協助定義標準事故響應活動,並且進行優先排序以及推動相關活動[1][2][3]。
組織會使用SOAR平台提昇實體及網絡安全作業的效率[4]。SOAR讓管理者可以在無需人工介入的情形下處理安全警訊。當網絡工具偵測到安全事件,SOAR會依安全事件的本質,發送警報給管理者,或是進行其他的應變措施[2]。
組成
資安協作自動化應變可以分為協作、自動化以及事件響應三部份。
協作(Orchestration)元件連接資訊系統中不同的安全工具以及系統。會讓客戶建立的應用程式和系統內建的安全工具整合,可以一起運作。此元件也會連接不同的端點、防火牆、用戶安全分析工具[5]。
自動化(Automation)元件會處理協作元件搜集的大量資訊,透過機器學習過程來分析。SOAR會處理大量記錄分析的人工工作,並且處理ticket請求、弱點檢查以及稽核流程[5]。
事件響應(Incident response)元件讓資安監控中心在識別到潛在威脅時,可以進行回應。此元件也可以自動化處理事件後的活動(像是威脅情資分享)[5]。
營運手冊和執行腳本
配合營運手冊和執行腳本,SOAR讓管理者可以定義潛在的事件和響應[2]。
營運手冊(playbook)是敘述如何驗證安全事件及應該如何響應的文件。營運手冊的目的是說明執行腳本需要作的事。若SOAR 失效, 可以用營運手冊作人工處理的備案[2]。
執行腳本(runbook)是用自動化工具實現營運手冊中列的工作,讓系統可以進行事先定義的措施,以緩和威脅的影響[2]。
參考資料
- ^ Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary. Gartner. [2023-04-28]. (原始內容存檔於2024-03-06) (英語).
- ^ 2.0 2.1 2.2 2.3 2.4 Mike Chapple, James Michael Stewart, Darril Gibson. (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide Sybex. 2021: 845–846. ISBN 978-1-119-78623-8 (英語).
- ^ Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases. D3 Security. [2023-06-21]. (原始內容存檔於2024-04-10) (英語).
- ^ What is SOAR (Security Orchestration, Automation and Response)? | Definition from TechTarget. Security. [2023-04-28]. (原始內容存檔於2024-04-07) (英語).
- ^ 5.0 5.1 5.2 The Important Role of SOAR in Cybersecurity. Security Intelligence. [2023-04-28]. (原始內容存檔於2023-09-24) (美國英語).