當(dāng)前，企業(yè)安全運營中心(SOC)的運營人員往往會被淹沒在大量數(shù)據(jù)和警報中，因此很難及時洞察一些真正有威脅的安全漏洞。在此背景下，一些安全廠商開始全力投入研發(fā)一種“自主SOC”。相比傳統(tǒng)SOC方案，自主式SOC應(yīng)用僅需較少的安全人員即可高效運行，從而降低企業(yè)安全團(tuán)隊的運營難度。

自主SOC的目標(biāo)定位

當(dāng)企業(yè)開啟安全運營自動化之旅時，首先應(yīng)該明確要自動化技術(shù)實現(xiàn)的安全運營目標(biāo)，然后根據(jù)目標(biāo)來制定自動化運營的關(guān)鍵流程。

自主SOC的一個核心目標(biāo)是將各種安全警報進(jìn)行聚合分類，并在警報處理的各個環(huán)節(jié)中實現(xiàn)自動化，減少人工干預(yù)。

自主SOC的目標(biāo)不是用AI技術(shù)取代現(xiàn)有的安全團(tuán)隊和人員，而是通過整合人員、流程和技術(shù)來更好地保護(hù)組織。專業(yè)的人才是安全運營工作不可或缺的因素。自主SOC可以使安全專業(yè)人員花費更少的時間來執(zhí)行冗余任務(wù)，將更多的時間集中在更高價值的戰(zhàn)略計劃上。

自主SOC應(yīng)該為現(xiàn)有的安全團(tuán)隊提供更多服務(wù)和支持，并使用適合組織流程的技術(shù)，使人員的工作更輕松，并提升其能力。

通過自主SOC，組織可以整合所有的數(shù)據(jù)源，以提供統(tǒng)一、自動化的分類體驗，改進(jìn)調(diào)查、支持分析師并縮短響應(yīng)時間。因此，自主SOC需要具備一些更先進(jìn)的技術(shù)能力，主要包括：

1. SOAR產(chǎn)品：這是一個成熟的產(chǎn)品類別，許多SOC團(tuán)隊都使用了安全編排自動化和響應(yīng)(SOAR)工具自動處理任務(wù)。但這此過程中頗有挑戰(zhàn)性，因為SOAR通常技術(shù)含量高或需要構(gòu)建復(fù)雜的劇本。一些創(chuàng)新的SOAR產(chǎn)品集成了AI工具，或者提供預(yù)構(gòu)建的劇本和無代碼工具，以簡化某些流程的自動化。

2. 自主SOC工具：這是一個較新的產(chǎn)品類別，使用原生自動化工作流和AI來攝取、調(diào)查和分類警報。這個領(lǐng)域的最新初創(chuàng)公司成立于2023年或2024年，使用基于生成式AI的技術(shù)。更成熟的自主SOC產(chǎn)品已集成了生成式AI，用來補充遺傳分析或機(jī)器學(xué)習(xí)等核心技術(shù)。

3. AI助手產(chǎn)品：這是最新的類別，出現(xiàn)于2023年。新的助手工具可以使用生成式AI來協(xié)助分析師，這樣他們可以在調(diào)查期間輕松查詢系統(tǒng)以獲得答案。這類工具可能會與其他工具集成，加快事件響應(yīng)或自主采取行動，但目前尚不清楚這些AI助手會變得多么有效或流行。

自主SOC的關(guān)鍵流程

自主SOC并意味著將安全運營的每個流程都完全自動化，至少在短期內(nèi)想做到這一點并不現(xiàn)實。自主SOC的關(guān)鍵是將一些大量重復(fù)且費力的工作自動化，這些工作往往會占用安全分析師的大量工作時間。

1. 持續(xù)監(jiān)控

自主SOC需要7*24小時全天候持續(xù)監(jiān)控和收集來自各種安全工具的警報信息，確保沒有潛在的威脅被忽視。

2. 收集證據(jù)

在收到警報信息后，自主SOC還需要收集與該警報相關(guān)的相關(guān)日志數(shù)據(jù)，包括文件、進(jìn)程、命令行、來自進(jìn)程參數(shù)的證據(jù)、URL、IP、父進(jìn)程/子進(jìn)程以及內(nèi)存映像等等。

3. 告警調(diào)查

自主SOC應(yīng)該使用AI和各種先進(jìn)技術(shù)分析收集到的每一條證據(jù)。這包括沙箱、遺傳密碼分析、靜態(tài)分析、開源智能(OSINT)、內(nèi)存分析和逆向工程。然后使用生成式AI模型，概述這些單獨分析的結(jié)果，為事件評估做好準(zhǔn)備。

4. 警報分類

自主SOC可對與每個警報相關(guān)的風(fēng)險進(jìn)行分類，并根據(jù)調(diào)查結(jié)果決定如何上報。此外，自主SOC還應(yīng)該通過自動修復(fù)檢測系統(tǒng)中的誤報來減少干擾信息，降低誤報對運營團(tuán)隊的影響。

5. 事件響應(yīng)

針對所有已確認(rèn)的重要威脅，自主SOC需要提供評估分析和處置建議，并在案例管理系統(tǒng)中創(chuàng)建工單。這包括檢測內(nèi)容和隨時可用的搜索規(guī)則，用于指導(dǎo)響應(yīng)過程。

6. 分析報告

自主SOC需要生成報告，讓運營團(tuán)隊了解情況威脅處置情況，并提供后續(xù)的優(yōu)化建議，以便持續(xù)改進(jìn)組織的安全防護(hù)策略。

通過上述步驟，自主SOC能夠?qū)Ａ康木瘓筮M(jìn)行高效篩選，并逐級上報那些真正需要安全專家人工分析的警報。這有助于提升安全運營工作效率，并大大減少花在誤報上的時間。

自主SOC應(yīng)用實例

走向自主SOC的旅程將是漫長而充滿挑戰(zhàn)的，但是，企業(yè)安全運營團(tuán)隊現(xiàn)在可以從一些基礎(chǔ)的場景入手，為將來廣泛應(yīng)用打下基礎(chǔ)。以下是自主SOC應(yīng)用的幾個例子，展示了不同類型的安全團(tuán)隊或組織如何應(yīng)用自主SOC戰(zhàn)略。

實例一、與SOAR的自動化聯(lián)動

在此場景下，安全團(tuán)隊仍需要處理許多手工任務(wù)，并有大量的誤報。為了縮短平均響應(yīng)時間，這類企業(yè)無法通過構(gòu)建和維護(hù)更復(fù)雜的事件響應(yīng)劇本來實現(xiàn)更多流程的自動化。他們決定使用一種可以與檢測工具集成的自主SOC平臺。

在上圖中可以看到自主SOC產(chǎn)品實現(xiàn)自動化的流程，這將是該團(tuán)隊運營能力提升的關(guān)鍵部分。在實際應(yīng)用中，組織首先將其與端點安全產(chǎn)品集成，以監(jiān)控和分類這些警報。當(dāng)用于端點警報的自主SOC系統(tǒng)取得成效時，接下來可使用SOAR用于上報警報和案例管理。有了這個系統(tǒng)，端點警報的分類時間平均不到2分鐘。一旦分析師對有效實施的自主SOC流程感到滿意，團(tuán)隊就會集成自主SOC產(chǎn)品，以便攝取和分類用戶報告的網(wǎng)絡(luò)釣魚郵件和SIEM警報。

實例二、為MDR服務(wù)商賦能

該MDR團(tuán)隊將采用基于AI的戰(zhàn)略視為改進(jìn)客戶服務(wù)和增加收入的一個競爭優(yōu)勢。他們需要監(jiān)控和分類來自許多客戶的警報，這些客戶使用許多不同的工具進(jìn)行檢測和響應(yīng)。

通過實施自主SOC戰(zhàn)略，包括使用可與任何客戶工具集成的自主SOC產(chǎn)品，將使他們能夠有效地監(jiān)控、調(diào)查和分類來自多個客戶環(huán)境的每個警報，提供基于AI和自動化的快速分類時間。通過AI和自動化提升能力，MSSP團(tuán)隊可以引入更多的客戶，并處理數(shù)量更多的警報，無需招聘和雇用另外的分析師。在實施自主SOC產(chǎn)品后，他們還能夠豐富客戶產(chǎn)品，并提供新的服務(wù)，比如能夠處理用戶報告的網(wǎng)絡(luò)釣魚郵件。

實例三、獨立的自主SOC應(yīng)用

最后設(shè)想一個SOC團(tuán)隊已制定了自主SOC戰(zhàn)略。自主SOC產(chǎn)品可以調(diào)查和分類來自所有集成檢測系統(tǒng)的警報，并將SOAR用于逐級上報和案例管理。在這些工具完全實施之后，團(tuán)隊還可以添加AI檢測助手，幫助安全團(tuán)隊查詢更多信息，不過目前因為AI助手之類的工具非常新穎，還很少有團(tuán)隊有效地使用。

參考鏈接：https://thehackernews.com/2024/05/how-to-build-your-autonomous-soc.html。