SOAR介紹：

概述:

SOAR(Security Orchestration,Automation and Response)，簡單字面來講就是安全編排、安全自動化、安全響應(yīng)。人們往往忽略了威脅情報(Threat intelligence)。

實際上根據(jù)Gartner的定義，一個優(yōu)秀的SOAR會將事件響應(yīng)、劇本編排、自動化、威脅情報、記錄、工作流程集成在一個平臺上。

安全分析師通過平臺根據(jù)自身的經(jīng)驗，進行場景分析，然后劇本設(shè)計，將流程固化，工作標準化；從而輔助安全工作開展分析，運營，處置，響應(yīng)。

過多的概念性知識就不再贅述了，Google搜搜或者找兩個產(chǎn)品的白皮書，文章大把。

SOAR的價值：

1、安全設(shè)備集中化。

這里的意思并不是通過SOAR進行集中管理安全設(shè)備，而是通過SOAR平臺將所需安全設(shè)備的功能集中起來，并且這樣可以按實際日常工作流程中，按需調(diào)用你需要的功能。

2、節(jié)省工作時間。

SOAR是通過代碼實現(xiàn)自動化工作流程，會減少你工作中某些機械工作所耗掉的時間，這個不必多說。老生常談的場景:封禁IP。

3、打通與其他部門協(xié)作。

一般在某些大企業(yè)里，基礎(chǔ)設(shè)施部，安全運營部，這個部，那個部，其實有些時候并沒有想象中那么容易推進。工作越久越發(fā)現(xiàn)內(nèi)部往往是最難推動的，恰恰有時和外部溝通很容易。:(

舉個例子，比如我需要封許多IP,可能想象中其實就是防火墻的一條Deny安全策略，地址對象里錄一些IP，其實不復(fù)雜，但是一次兩次很容易，三次四次可能就不是那么好推動。只是打個比方，大家懂表達的意思即可。

4、提升工作效率。

通過SOAR打通其他安全設(shè)備，可以輔助安全工作開展。

例如：IP信譽查詢；批量處置安全事件；安全事件的告警通知；終端安全掃描；主機斷網(wǎng)下線；工單下發(fā)等等。

將工作中某些流程進行融合，提升工作效率。

5、靈活編排設(shè)計。

根據(jù)場景中需要解決的問題，選擇對接不同安全設(shè)備，自定義條件邏輯判斷，編排劇本流程。

SOAR的總結(jié)：

結(jié)合目前工作中體驗，SOAR其實可以簡要概括四個模塊。

SOAR的模塊分類：

• 輸入
• 劇本
• 輸出
• 應(yīng)用

SOAR的應(yīng)用場景分類：

• 自動化
• 半自動化

之所以會分為自動化與半自動化，是由于某些場景由于對業(yè)務(wù)風(fēng)險的考慮或輸入的限制，導(dǎo)致需要不能完全依賴于自動流程，需要人工分析處置或流程審批。

SOAR的劇本設(shè)計：

SOAR的主要應(yīng)用場景：

運維：

• 設(shè)備改密
• 終端斷網(wǎng)
• 郵件通知
• 系統(tǒng)監(jiān)控
• 安全設(shè)備運維
• ……

安全：

• IP信譽查詢
• 封禁IP
• 終端病毒掃描
• 資產(chǎn)發(fā)現(xiàn)
• ……

SOAR的劇本設(shè)計流程：

1. 熟悉企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)與策略，溝通討論構(gòu)想的劇本中是否會帶來安全隱患或安全事故。
2. 了解或熟悉上游輸入的基本信息和能力。
3. 了解或熟悉下游接受輸出應(yīng)用的基本信息和能力。
4. 根據(jù)編排的劇本，溝通各方需要提供的接口和工作，討論劇本中某些環(huán)節(jié)的合理性。
5. 就劇本中的細節(jié)達成共識，打通上下游。
6. 申請網(wǎng)絡(luò)策略，測試運行一段時間，觀察實際效果。
7. 按需調(diào)整劇本的實際需求。
8. 上線。

SOAR的劇本舉例：

老生常談，封IP。

可能你覺得這個沒難度，簡單。但是這個是最實用的。往往實用的才是最好的。

PS：這個劇本筆者在設(shè)計時候，默認已與網(wǎng)絡(luò)部門達成共識，提前規(guī)定好Deny的安全策略置頂，并且協(xié)商好地址對象的名稱格式。所以就沒涉及封禁策略與其他安全策略間會不會有優(yōu)先級沖突或策略交叉的情景。

其實對照這個劇本，你可以發(fā)現(xiàn)一個簡單的IP封禁,其實涉及了：

• 你要對防火墻功能有一定的了解,例如地址對象，安全策略等。
• 還需要調(diào)研防火墻能提供的能力，也就是下游接受輸出應(yīng)用的能力。

例如：地址對象的上限數(shù)量,地址組的上限。（一般地址對象上限4096，但是也有不一般的，例如某XXX，地址對象的上限128個……）

• 也還需要調(diào)研上游輸入的基本信息。

例如：是否需要手工輸入IP封禁或者直接取某些精準告警的IP，那可能輸入的最大值是多少，防火墻這個接口并發(fā)是否支持同時寫入這么多的IP到地址對象中?

• 溝通各方所需要的接口和工作，溝通某些環(huán)節(jié)的合理性。

舉一個例子：下午向研發(fā)同事請教他的經(jīng)驗。我才了解到，實際有時候接到的需求根本不會對地址對象的上限做校驗，實際上就是無腦地將IP寫入地址對象中。當時我覺得這樣不是很合理，所以我問：“那地址對象如果上限了，怎么辦？？？直接會判斷新建地址對象寫入？”他給我的回答是：”寫不下就直接報錯唄。其實往往實際上不是我不想做校驗，是有的防火墻的接口壓根不給我這個查詢的權(quán)限，我也沒有辦法。:(  “

所以設(shè)計劇本時候，需要多想想這個劇本中某些環(huán)節(jié)的合理性。

• 按需調(diào)整劇本的實際需求。

• 整體劇本測試跑通后，我的實際需求是否需要延伸或調(diào)整？

• 例如：我如果支持手工寫入IP,那是否需要支持使用文本批量導(dǎo)入IP?
• 例如：我是否需要一個解封IP的前端功能？
• 例如：我是否需要一個容錯機制，當防火墻接口網(wǎng)絡(luò)抖動或者多次調(diào)用失敗時，是否需要封禁到WAF上？
• 例如：我的實際網(wǎng)絡(luò)中防火墻是三層主主模式？我是否需要考慮當這個主網(wǎng)絡(luò)不可達時，封禁到另一個防火墻上？（只是舉個例子，勿噴，實際場景中，還是三層主備多一些。）

劇本設(shè)計的注意事項：

1. 別人的劇本不一定適合你，應(yīng)該想想日常運營那些環(huán)節(jié)自動化或者半自動化能提升你的效率再去設(shè)計。不要為了有而有，這樣就舍本逐末了。
2. 某些劇本可以結(jié)合內(nèi)部的規(guī)章制度來設(shè)計。
3. 設(shè)計劇本時要盡可能發(fā)散一些糟糕的場景，通過糟糕的場景去延伸覆蓋設(shè)計，慢慢精細化劇本。
4. 劇本設(shè)計要兼顧考慮上下游輸入和輸出的能力，初期設(shè)計請盡可能降低預(yù)期，流程跑通后，提高要求。
5. 多思考這個劇本場景下，是否需要逃生或容錯的機制。
6. 設(shè)計劇本時一定要多考慮下是否會帶來業(yè)務(wù)風(fēng)或安全事故，多想想總歸是好的。
7. 不要過于理想化，你設(shè)計出來的劇本，一定要是你見過的流程?。ㄒ粋€國外大佬視頻的觀點，筆者覺得非常有道理。）

總結(jié)：

產(chǎn)品只是輔助提升人們工作效率的工具，最重要的還是人、工具、流程的結(jié)合。其實并沒有垃圾的工具，只要我們物盡其用！

PS：非常感謝你能看到這里。

筆者工作時間并不長，還是個孩子，某些寫的不對的地方輕噴哈，歡迎一起交流討論，:)

本文作者：毛驢席地而坐， 轉(zhuǎn)載請注明來自FreeBuf.COM