由于企業的數字資產攻擊面不斷擴大，以及數字化業務資產價值不斷提升，企業面臨的攻擊威脅也在不斷增加。為了應對挑戰，企業需要進一步增強安全運營中心的自動化水平，提高消除安全威脅的速度和敏捷性，同時減輕運營人員的工作壓力。安全編排與自動化響應（SOAR）正是幫助企業實現安全運營自動化的代表性技術之一。

SOAR的價值與典型應用

大量應用實踐表明，SOAR可以幫助企業安全運營中心實現以下方面的能力優化：

• 安全能力編排 

SOAR可以幫助安全運營中心實現各種異構安全工具的銜接和工作協同，從而提高獲取威脅、運營監控和識別事件的效率。

• 自動化

SOAR可以通過預定義的參數自動觸發工作流程、任務和警報，幫助企業安全運營中心實現更積極的主動安全防護模式。

• 事件響應

SOAR可以加快企業安全運營中心對中、低風險事件進行通用性和針對性的處置響應，并通過統一視圖方式來訪問、查詢和共享威脅情報，為安全分析師提供支持。

從以上三點可以看出，SOAR的應用價值在于，可以自動化協同多個安全工具共同處理常規性威脅信息和事件，使安全分析師能夠專注于處理更復雜的威脅，并實現對威脅情報的全生命周期支持。如果實施得當，SOAR可以成為助力企業進一步夯實安全防護體系的基礎。

但在最初接觸或使用SOAR產品時，很多企業都會對SOAR的真實效果產生疑慮。因此，SOAR產品的應用可以從一些容易落地的應用場景開始，在使用的過程中逐漸打磨產品能力，增強使用信心。以下，研究人員總結了SOAR在企業安全運營中的6個典型應用：

1、警報信息處理

SOAR平臺每天都會收集到成千上萬個網絡攻擊指標（IOC）。這些指標是從內外威脅情報源、惡意軟件分析工具、XDR系統、SIEM系統、電子郵件、RSS新聞源、監管機構及其他數據庫收集而來。通過SOAR平臺的協調、匯總和發掘，可以從海量的警報信息中檢測出真正可疑的IOC。

2、攻擊事件管理

在企業體系化安全能力構建中，會使用多種安全工具來檢測潛在的安全威脅。因此，安全分析師可能需要花費大量時間來分析與同一威脅相關的不同監測數據。SOAR可以將來自多個相關事件、性質相同的數據匯總起來。這使得安全運營人員能夠識別出最關鍵的威脅，從而快速處理威脅，縮短威脅檢測和響應的總體平均時間。

3、安全漏洞管理

在傳統的安全運營模式中，安全分析師需要人工管理和清點安全漏洞。但是如果通過SOAR技術，幾項簡單的策略就可以實現漏洞管理自動化，快速處理大量漏洞，并實現漏洞監控和快捷響應。具體來說，SOAR可以跨多個安全工具將威脅數據關聯起來，以評估漏洞利用風險，并相應地確定漏洞威脅的優先級。

4、事件響應分析強化

SOAR平臺可以利用多個數據源或查詢不同的威脅情報工具來獲取威脅上下文，從而加強IOC的事件響應分析。這使得SOC分析師能夠更準確高效地分析、驗證、分類和響應。在這種應用場景下，SOAR可以幫助安全分析師大大節省事件響應中必須的關聯性數據檢索時間，從而可以更快速地獲取大量的IP、URL和散列信息以檢查惡意威脅，又不影響所需的查詢深度。

5、威脅搜尋

SOAR平臺還可以作為一種主動搜尋威脅的機制。對安全分析師來說，搜尋威脅是一項至關重要的任務，但考慮到威脅范圍不斷擴大，這項任務很耗費時間。SOAR可以添加用于持續分析的數據集，從而支持大規模數據分析的環境。此外，SOAR可以廣泛地探測惡意軟件或可疑域名，并在必要時結合分析師經驗共同（human-in-the-loop）決策，幫助擴大威脅搜尋范圍。

6、安全事件響應

目前主流的SOAR方案已經可以有效處理一些常見安全威脅，并準確做出補救和響應，比如網絡釣魚、惡意軟件、拒絕服務（DoS）攻擊、網站損毀和勒索軟件。

根據安全威脅的類型，自動化響應有以下常見形式：

• 將指標自動添加到監視列表；
• 自動阻止惡意指標；
• 自動隔離指標或受攻擊端點；
• 給基礎設施硬件/軟件自動打補丁；
• 自動生成工單；
• 自動阻止可疑的電子郵件或IP地址；
• 自動刪除來自其他郵箱的可疑郵件；
• 自動終止或控制用戶賬戶；
• 自動觸發防病毒掃描或安全合規檢查；
• 自動提醒特定的安全分析師、供應商、合作伙伴或客戶。

SOAR落地應用的挑戰

盡管SOAR技術有巨大的發展前景，但其理念能否真正兌現仍然充滿挑戰。這與企業現有的安全運營能力和水平是息息相關的。研究人員發現，SOAR在應用落地中面對的主要挑戰包括：

挑戰一

安全運營水平還沒有達到使用SOAR的條件

很多企業組織的安全運營現狀是，通過IP地址實現對安全設備和終端的管理，通過對管理員和用戶的賬戶對應用進行管理，但安全設備及賬戶對于業務應用來說，是多對一或多對多的關系。當安全事件發生以后，必需要依靠對系統和資產熟悉的人員進行問題排查。這對于自動化設備來說，應用會存在非常大的挑戰。

挑戰二

SOAR產品使用需要多部門協同

SOAR的應用目標是人員、數據、流程、工具的高效協同。但分析企業目前現狀，業務、信息化、安全運營都是獨立的部門，有相應的職責劃分及領導者，實現跨部門的協同工作不僅僅是簡單的技術問題，還是管理上的改變。想要打通業務與安全，需要從頂層設計開始改變組織架構，而現階段還沒有強有力的因素對此進行推動。

挑戰三

企業沒有清晰的事件處置流程

SOAR將事件的處置過程通過劇本進行編排，如果用戶本身對于自身的事件處置流程都不甚清晰，那也就無法使用自動化工具提高效率。只有那些組織管理能力較強，具備正式、成熟安全響應流程的企業，才能夠針對通用威脅建立標準劇本，達到使用SOAR產品的條件。 

挑戰四

SOAR產品難以實現標品化

SOAR產品對比其他的安全產品，如防火墻、IDS等，是不能即插即用的，因為每個用戶部署的安全設備不同、事件響應的流程不同，需根據用戶實際情況接入數據源、設備，以及更具應用需求和場景修改優化劇本。

參考鏈接：??https://www.techtarget.com/searchsecurity/tip/Top-6-SOAR-uses-cases-to-implement-in-enterprise-SOCs??