2015年，Gartner將SOAR定義為一個平臺，它能夠利用機器可讀的有意義的安全數據來提供報告、分析和管理功能，以支持組織中的安全運營團隊。正如每一項技術一樣，行業需求和灰色地帶為創新解決方案鋪平了道路。同樣，網絡安全也在不斷演變，也在不斷攀升。在這篇文章中，我們看看什么是SOAR，SOAR的各種組件，以及基于SOAR的安全運營解決之道。

1. 介紹

保護業務不受網絡攻擊的責任在于內部安全運營團隊。毫無疑問，攻擊者正在不斷改進和升級他們的工具和技術。此外，通過繞過傳統的安全控制，他們可以很容易地滲透到業務網絡中。從業務的角度來看，這種情況會進一步惡化，因為許多員工沒有遵守基本的安全實踐，最終成為社會工程攻擊的受害者。人是網絡安全生態系統中最薄弱的一環，人的失誤往往會導致企業實施安全控制的效率出現問題。

隨著攻擊的復雜性不斷增加，內部安全運營團隊的工作不會變得更容易。要成功地緩解安全事件，首先需要檢測它。目前檢測事件的平均時間已經減少了，但對于APT的分析過程仍然是相當長的時間。根據調研發現，金融公司平均需要幾十天來檢測一個事件，而一般消費類公司可能需要大約上百天。一旦發現，成功的對威脅進行消除和恢復同樣是具有挑戰性的方面。隨著越來越多的監管/法律要求，合規的負擔也成為焦點。

為了解決這些問題，企業構建大量的安全分析類工具。但目前的現狀是在一天的大部分工作時間里，內部運營團隊的時間都浪費在了處理誤報上。

為了有效地監視組織的安全性，工具和技術是一個方面。擁有適當的文檔化的策略和過程，以及以最大的優化和效率執行它們的能力是必要的。同樣，一些企業已經編制了文檔，而許多企業只編制了某些策略，它們繼續依賴于臨時應急響應計劃。

當企業尋找能夠從現有工具收集數據并將其顯示在一個集中的儀表板中，同時對生成的告警采取自動化操作的解決方案時，SOAR就會出現。

Gartner作為安全理論及實踐方面的權威，對SOAR進行了全面的定義。它將SOAR定義為：使組織能夠收集來自不同來源的安全威脅數據和警報的技術，在這些技術中，可以利用人工和機器的組合力量來執行事件分析和分類，從而幫助定義、確定優先級，并根據標準工作流驅動標準化的事件響應活動。SOAR工具允許組織以數字工作流格式定義事件分析和響應過程，這樣一系列的機器驅動的活動就可以實現自動化。

2. SOAR-安全編排響應自動化

2.1. Security Orchestration

安全編排是一種通過集成多個系統和平臺來調整不同的安全工具和技術的方法，以簡化安全流程，增強安全自動化以加速事件響應。它有助于將復雜的事件響應過程和任務轉換為一致的、可重復的、可度量的和有效的工作流。與人工協作相結合，安全編排將人員、流程和技術集合在一起，以提高安全操作團隊的整體效率。

安全編排主要包含以下幾個方面：

Ø 能夠做出明智的決定并協調整個過程

Ø 響應的規范化和自動化

Ø 充分考慮風險動態及環境感知。

具體來說，在一個SOAR平臺上，它從各種工具收集日志及告警信息，關聯分析它們的緊迫度及危險性，啟動并執行事件響應，同時測量整個響應過程。

例如，一個異常外聯事件報告給一個SOC。分析人員將針對來源主機進行取證，以確認主機內是否存在異常進程、異常服務、及異常病毒文件等行為以判定當前主機是否已被攻陷，并獲取到所有的取證信息，這些取證過程都必須通過分析人員人肉來執行。而在SOAR中，邊界防護安全系統、沙箱系統、EDR系統等將會被整合。一旦平臺收到異常外聯事件，業務流程將啟動來自各種來源的數據收集，并在某個統一視角下呈現形成APT威脅場景。如果SOAR擁有針對當前APT威脅的自動化處置腳本，將自動啟動適當的事件響應操作，如果沒有，將由分析人員做出最終決定并基于本次響應結果，固化成自動化響應腳本，作為下次類似威脅場景自動化處置手段。整個安全運營業務流程通過協調涉及不同底層工具的整個流程，大大減少了上下文切換時間，即在不同工具之間切換所花費的時間。

理想情況下，安全編排應當提供與大多數的安全廠商集成功能。這種集成應該是在數據輸入方面的雙向性，即，推送數據和提取數據;以及豐富的特性，即，靈活和可定制化的API，以便充分利用供應商產品的所有功能。編排必須有一個抽象層，分析人員可以使用這個抽象層為特定的API創建邏輯和抽象，然后通過SOAR工具將其轉換為API調用。

2.2. Automation

自動化，作為編制的一個子集，指的是在整個流程中或部分流程中，通過層次較高的任務(或稱為劇本)執行大量任務。內部安全團隊可以使用它來改進性能、準確性和采取行動的時間。

自動化應該通過一組標準的步驟、決策過程和指令來指導用戶。它必須要有足夠的靈活性，例如在關鍵分析或響應的節點，將人的決策過程納入到自動化流程中。工作流應該在預先確定的操作集上運行，并提供檢查狀態、執行和審計的功能。

2.3. Response

SOAR解決方案的第三個組成部分使它在許多方面比傳統的安全解決方案更有效。Response處理事件的整個生命周期—警報的生成、其驗證、自動響應、人工干預、緩解和報告。該組件由多個子組件組成，例如:

Ø 告警的處理和分類

SOAR從各種安全工具收集數據，并將它們顯示在一個集中的儀表板中，供內部安全團隊評估生成的告警。大多數此類告警由SOAR解決方案自動處理，因為它們要么是通用的，要么在許多情況下是誤報。根據收集到的數據，還對告警的緊迫性和危險性進行了評級，以便需要人工干預的告警按順序從高度臨界開始處理。數據在整個過程中被收集形成證據鏈，并相應地提供給各種安全分析人員及運營人員使用

Ø 記錄和證據支持

保持對所采取的行動的跟蹤，不管是自動的還是手動的，為了保持責任是必要的。

它們還在滿足法律/規章要求方面發揮作用。

Ø 調查與威脅情報

當內部安全團隊分析警報時，SOAR工具應具有在整個過程中存儲人工制品的能力。這些人工制品在按時間順序演示操作和審計期間的最終決策時非常有用。

來自多個來源的威脅情報數據以及SOAR解決方案提高了識別假陽性警報的效率。

Ø 案例管理及工作流程

為了快速處理生成的警報，SOAR解決方案應該建議在需要手動或部分手動干預的情況下采取一組操作。建議包括劇本、api、腳本等。必須提供一個專注于工作流自動化和策略執行的專用用戶界面。

3. 綠盟SOAR實踐

3.1. 綠盟SOAR：Orchestration

3.1.1. Out-of-box integration connectors

綠盟科技采用自研的SecDevOps框架，工程人員可以基于標準插件化模板編排不同設備廠商不同數據類型的數據接入模型，快速集成并實現插件的在線激活及接入，實現數據源的開箱即用的能力;

同時工程人員可以基于標準插件化模板編排不同設備廠商不同管控設備的管控模型，快速集成并完成管控設備插件的在線激活及接入，實現管控設備的開箱即用能力

3.1.2. 利用playbook實現響應編排能力

利用系統提供的豐富的playbook SDK，通過playbook劇本的工程化編制，實現：

Ø 針對對威脅場景，依據當前已收集的取證信息，根據威脅的攻擊方式、其對應病毒傳播方式、緊迫程度等，制定的響應策略(包括響應動作，響應動作的緊迫度/優先級)實現對響應動作的編排

Ø 針對威脅場景所采取的某一響應動作，依據防護設備防護策略，進行響應動作的防護設備的選排過程，

3.2. 綠盟SOAR：Automation

3.2.1多層級自動化

針對已知威脅并固化了相應playbook執行腳本的案例，當威脅發生時并送入到SOAR平臺中，SOAR引擎自動調用固化的playbook腳本，依據playbook固化的處理流程及處理優先級，實現對威脅的全局封堵、被感染主機清除及被影響主機的加固等過程。

針對未知威脅尚未形成相應的playbook執行腳本時，系統在威脅研判過程逐步形成的威脅證據鏈，依據威脅的緊迫度及危險程度等條件，依據響應優先級(優先級從高到低：阻斷傳播路徑-清除-加固)調用微場景化的通用playbook執行腳本，實現對威脅的全局封堵、被感染主機的威脅清楚及被影響主機的加固過程等。微場景化的通用playbook腳本包括：

Ø 全局通用playbook腳本如：block-ip、block-url、ip-isolation等;

Ø 被感染主機通用威脅清除playbook如：kill-process、delete-file、kill-task、disable-service、clear-registor等

Ø 受影響主機的通用加固playbook如：disable-service、add-NF-rule等。

在通過微場景化的通用腳本處置完成并經過驗證無誤后，系統可以根據已經執行的通用playbook進行編排生成固化的針對當前威脅案例的playbook，后續當相同威脅進入網絡中，SOAR則依據處置的優先級及緊迫度，依次執行固化后的響應劇本。

3.2.2自動化playbook生成

綠盟科技采用blockly框架技術，以所見即所得的方式，基于圖形化界面以拖拽方式進行playbook的自動化生成。 大幅度提升playbook的編排過程，并降低人為因素導致的playbook劇本編制過程的錯誤。

3.2.3自動化和人工處理的融合

在playbook的自動化執行過程中，提供的playbook SDK API支持完整的工作流支持能力，在playbook執行的任何節點，可以和人工workflow進行交互，可以有效實現自動化處理和workflow人工處理的有效結合，保證運維的精準。

3.3. 綠盟SOAR：Response

利用NDR/EDR的管控響應能力，實現設備的自動化聯動，構建全方位的響應體系，實現對網絡及主機全面的安全自動化運營能力，包括威脅攔截，可疑訪問源封殺，被攻陷主機的隔離、威脅消除及未攻陷主機的加固等。

3.4. 圍繞SOAR的自動化響應生態體系

由于綠盟科技采用的開放性SecDevOps框架模式，使得綠盟科技的SOAR平臺具備：

Ø 對任意廠家及任意類型數據源的快速集成接入;

Ø 對于任意廠家NDR/EDR設備的快速集成能力。

同時為支持第三方大量及豐富的處置已知威脅的playbook，我們在針對playbook 的SDK增加了面向第三方的SDK適配層，能快速兼容第三方廠家的playbook劇本，實現不同廠家playbook的跨平臺共享及自動化響應

在和第三方的NDR/EDR對接中，綠盟SOAR平臺支持OpenC2的南向標準接口，在雙方依從Openc2規范性的情況下，綠盟SOAR平臺具備了無縫接入NDP/EDR的能力。

基于以上開放性的設計思路，我們會持續將SOAR平臺打造為 Open-To-Anyone的開放生態體系

4. 基于SOAR的安全運營

4.1. 綠盟安全運營服務目標

綠盟安全運營服務，就借助于一系列的安全監測、分析、響應等技術平臺，特別是借助于SOAR的自動化及實時響應能力，通過7*24小時持續性運營保障，切實做到在事前依據有效精準的預測實現對網絡系統的加固、在事中依據精準分析快速有效的做到攔截和封殺;事后依據完整精確的取證信息對系統進行快速隔離、清除、加固，以保證客戶的網絡體系及業務的安全運行。

4.2. 綠盟自動化安全運營聯動體系

SOAR是自適應安全架構體系中的重要一環，依托SOAR的編排自動化響應能力，才能最終實現安全運營從應急響應向持續的自動化響應的邁進。

在綠盟科技整個安全運營體系中，將MDR及SOAR的能力有機的和綠盟安全態勢平臺融合實現了安全運營從監測、分析、研判、智能化決策、到編排及自動化響應整個7*24小時自適應持續閉環過程。

利用態勢平臺實現安全數據的監測及智能化分析，利用關聯分析、機器學習等技術手段，結合威脅情報，對事件及行為進行識別、推理及智能化預測過程;

基于MDR，依托威脅狩獵+主動取證等技術手段，實現事件、行為的軌跡取證、對響應數據進行收集確認。

基于SOAR，針對已知威脅，通過已經編排固化的playbook劇本，實現對威脅的自動化處置閉環;對于未知威脅，根據MDR step-by-step的取證過程，依據威脅的緊迫度等實現響應動作優先級的，并針對響應設備進行編排，下發響應動作;

依托NDR、EDR的聯動響應能力，實現安全威脅攔截、封堵、清除，并最終實現系統加固以防止下一次被攻陷的可能。

4.3. 綠盟安全運營流程案例

利用以上的安全運營的聯動體系，綠盟科技不僅保證了安全運營流程的閉環過程，同時保證安全運營閉環的實時性和高效性，有效的做到了事中的攔截和封堵，事后的隔離、清除。并在下一次的攻擊前做到事前的加固。

如下是綠盟科技依托SOAR實現的全局封堵、失陷主機清除、未失陷主機加固的全流程：

5. 結束語

SOAR理念引入及逐漸發展完善，同時結合前期的威脅狩獵+主動取證等分析手段，將大幅度提升安全運營的效率，以上面挖礦威脅為例，在我們的平臺上實現從威脅的發現到響應動作的完成，基本在秒級。這僅僅是開始，我們有理由相信，在未來的幾年里，SOAR作為自適應安全體系中的一環，將發揮越來越重要的作用。