SOAR是奇安信基於自身豐富的實戰化安全運營經驗,依託具有豐富安全管理與運維技術積累的技術團隊,經過長期的調研和潛心研發,在國內主流安全廠商中率先正式發佈SOAR安全編排自動化與響應系統,奇安信SOAR是一個將安全運營相關的團隊、工具和流程通過編排和自動化技術整合在一起的,有序處理多源數據,持續進行安全告警分診與調查、案例處置、協同作戰、事件響應,並最終實現高效、有效安全運營的智能協作系統。奇安信SOAR具有以下顯著特徵:
1)
面向SecOps,以高效、有效為目標;
2)
以編排和自動化為核心;
3)
是一個智能化協作運營系統;
4)
關鍵功能包括:安全告警分診與調查、案例管理、作戰室、安全事件響應、劇本與應用管理;
5) 實現了團隊、工具和流程的無縫整合。
奇安信SOAR包括編排與自動化管理、應用管理、告警管理、高級告警分析、案例管理、作戰室、工單管理和支撐管理8大核心功能。其中,高級告警分析、作戰室功能是可選功能。
奇安信SOAR具備5大技術特點及關鍵能力,使得其領先和區別於其它同類產品。這5大特點及能力分別是:
1) 安全能力編排化:將分散的安全工具和能力與團隊和流程捏合到一起。
2) 安全流程自動化:儘可能地自動化執行安全流程,減少人工參與。
3) 告警響應智能化:智能化告警分診、調查與響應。
4) 案例管理協作化:以團隊協作的方式,藉助案例和作戰室,持續追蹤重大安全事件,全程記錄,可覆盤總結;
5) 系統架構開放化:開放可擴展軟件框架,運維流程高度可自定義,友好便捷地集成各類安全工具和產品。
藉助本系統,重點幫助解決企業和組織安全運營響應人員匱乏、安全事件響應不及時、重複性運維工作多、安全設備之間缺乏協同且聯動性差等導致安全運營人員工作壓力大、運營效率低下的問題。
1) 大量安全告警需要排查和上下文比對,操作費時費力,人員不足;
2) 網絡中有各種安全設備/系統,缺乏自動化協同聯動的工具;
3) 一些不錯的實戰化的安全響應過程和經驗沒法積累和傳遞;
4) 就算通過新型檢測提升了MTTD,但若MTTR不相應提升,最後還是無法降低威脅的影響性,達不成有效防護的目的;
軟件部署在Linux操作系統上,必須採用64位操作系統,支持4核以上CPU,32GB以上內存;支持部署到容器、虛擬化環境和雲計算環境中。
1) 整合資源、協同連接:將分散的工具、人員和流程有機地整合到一起,整合安全運營所需的各種資源,實現人與工具、工具與工具的連接與協作。
2) 自動運營、減負增效:將安全操作流程或其片段轉變成編排化的安全劇本,並儘可能自動化的執行,從而大幅降低安全運營人員的工作負擔,提升工作效率。
3) 增強告警、快速分診:安全運營人員能夠更便捷地對告警信息進行調查與增強,更快速地進行告警分診,從而提升單位時間內處理告警的數量和質量。
4) 快速響應、及時補救:藉助編排與自動化,安全運營人員能夠快速進行響應處置,降低平均響應時長。
5) 動態對抗、持續優化:安全運營人員能夠根據實戰情況動態調整和組合劇本。系統能夠自動記錄所有對抗過程的操作記錄,便於事後總結歸納,持續優化。
6) 提升人效、高效度量:通過編排與自動化實現安全運營效果的自動化、數字化度量,提升運營水平,並將有經驗的安全運營人員的知識進行固化、沉澱、分享,並不斷優化。