考慮購(gòu)買安全編排、自動(dòng)化與響應(yīng)(SOAR)解決方案的公司企業(yè)，往往會(huì)擔(dān)心自己現(xiàn)有的事件響應(yīng)項(xiàng)目尚未成熟到可實(shí)現(xiàn)帶自動(dòng)化與編排功能的綜合性平臺(tái)的程度。如果幾乎沒(méi)有任何基礎(chǔ)，從零起步似乎甚為艱難，尤其是團(tuán)隊(duì)中無(wú)人有事件響應(yīng)或安全編排解決方案經(jīng)驗(yàn)的時(shí)候。

[[242302]]

雖然大家都不想僅僅是往低效過(guò)程中添加自動(dòng)化就完事兒，但如果老方法本身已不夠好，進(jìn)一步鞏固這種舊有的安全事件處理方式顯然更不科學(xué)。

如果你想要改善公司安全運(yùn)營(yíng)，但不知道從何處著手，以下幾步或許可以幫你準(zhǔn)備好遷移到SOAR平臺(tái)。

1. 盤(pán)點(diǎn)當(dāng)前運(yùn)營(yíng)狀況

認(rèn)為自己不具備事件響應(yīng)項(xiàng)目的公司各有各的道理。無(wú)論有沒(méi)有SOAR或事件響應(yīng)平臺(tái)，每家公司都有些管理安全事件的方法，即便可能涉及很多即興動(dòng)作和臨時(shí)過(guò)程。

準(zhǔn)備實(shí)現(xiàn)SOAR平臺(tái)的時(shí)候，可以花點(diǎn)時(shí)間與公司利益相關(guān)者談?wù)?，了解?dāng)前過(guò)程及這些過(guò)程的有效性(或無(wú)效性)。這其中應(yīng)當(dāng)包括梳理工具清單：

• IT和信息安全的現(xiàn)有基礎(chǔ)設(shè)施有哪些?
• 有沒(méi)有什么工具可供進(jìn)行數(shù)據(jù)豐富操作?

一旦弄清楚了手頭有哪些工具可用，你就可以將這些工具都映射進(jìn)事件響應(yīng)生命周期中，比如 NIST 800-61r2 標(biāo)準(zhǔn)中描述的那種，并識(shí)別出公司當(dāng)前還缺些什么。

接下來(lái)，查看一下公司遵從的事件響應(yīng)過(guò)程或手冊(cè)?？纯窗踩\(yùn)營(yíng)中心(SOC)內(nèi)部是怎么協(xié)作的?又是怎么與IT和數(shù)據(jù)隱私組織等其他團(tuán)隊(duì)協(xié)作的?公司如何保持在事件響應(yīng)過(guò)程中的法律合規(guī)與監(jiān)管合規(guī)?公司團(tuán)隊(duì)是如何管理網(wǎng)絡(luò)釣魚(yú)或惡意軟件之類當(dāng)前常見(jiàn)安全事件的?

如果有可用的衡量標(biāo)準(zhǔn)，請(qǐng)仔細(xì)審查，找出運(yùn)作良好的部分和需要改進(jìn)的地方。比如說(shuō)：

• 檢測(cè)并響應(yīng)安全警報(bào)耗時(shí)多久?
• 哪些活動(dòng)占據(jù)了安全分析師太多時(shí)間?

如果沒(méi)有正式指標(biāo)可用，那就詢問(wèn)安全分析師和經(jīng)理，讓他們給出自己的評(píng)估。

2. 找出最適用于自己公司的功能，以及提供這些功能的平臺(tái)

市場(chǎng)上有各種各樣的SOAR平臺(tái)，要收窄自己的選擇面，不妨花點(diǎn)時(shí)間確認(rèn)一下對(duì)自己而言最為重要的功能。想要首先自動(dòng)化的過(guò)程是哪些?什么問(wèn)題是你安全團(tuán)隊(duì)最為棘手的?存不存在重復(fù)發(fā)生的安全事件、數(shù)據(jù)孤島或過(guò)程瓶頸?你的分析師可以幫你回答這些問(wèn)題。

每個(gè)平臺(tái)都有各自側(cè)重的安全運(yùn)營(yíng)方面。這些功能大致可分為以下幾類：

• 警報(bào)管理：幫助SOC分揀、評(píng)估并關(guān)閉出自SIEM和其他源系統(tǒng)的持續(xù)安全警報(bào)流。
• 分類：通過(guò)從威脅情報(bào)和歷史事件記錄等外部和內(nèi)部源收集上下文信息，幫助分析師做出決策。
• 事件響應(yīng)：包含戰(zhàn)術(shù)手冊(cè)、任務(wù)管理、鏈接分析等功能，支持有效且可重復(fù)的響應(yīng)工作流。
• 報(bào)告與分析：包括自動(dòng)化或安排報(bào)告、產(chǎn)生詳細(xì)SOC指標(biāo)，以及為使用該系統(tǒng)的不同用戶角色定制儀表板的能力。
• 合規(guī)與跟蹤：比如審計(jì)跟蹤、保管鏈和通用合規(guī)報(bào)告模板。
• 案例管理：包含對(duì)調(diào)查人員與其他團(tuán)隊(duì)間協(xié)作的支持、相關(guān)事件的案例存儲(chǔ)目錄、有引導(dǎo)的調(diào)查工作流和證據(jù)管理。

3. 試著草擬一份戰(zhàn)術(shù)手冊(cè)

想要對(duì)如何運(yùn)用SOAR平臺(tái)有個(gè)具體感知，可以試著為你最重要的用例草擬一份戰(zhàn)術(shù)手冊(cè)。然后，指出你覺(jué)得可用自動(dòng)化和編排來(lái)加以增強(qiáng)的步驟。

從供應(yīng)商或行業(yè)機(jī)構(gòu)處可以很容易獲取在線戰(zhàn)術(shù)手冊(cè)樣例，這些樣例應(yīng)能給你有關(guān)步驟上的參考。評(píng)估公司現(xiàn)有過(guò)程并問(wèn)詢公司分析師可以得到更有價(jià)值的信息，包括常見(jiàn)用例或重要用例?？梢詮哪惆踩h(huán)境中最典型的用例開(kāi)始應(yīng)用，比如網(wǎng)絡(luò)釣魚(yú)、可疑數(shù)據(jù)泄露，或者惡意軟件感染。

如果你沒(méi)有任何正式的事件響應(yīng)項(xiàng)目，那實(shí)現(xiàn)SOAR解決方案、事件響應(yīng)平臺(tái)或任意其他重要安全工具都會(huì)很困難。不過(guò)，只要遵循了上面描述的步驟，你就會(huì)對(duì)自身情況有個(gè)更好的認(rèn)知，知道自己要走的路線和需要達(dá)到的效果。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文