山石网科：企业安全业务流程自动化SOAR（15页）.pdf

《山石网科：企业安全业务流程自动化SOAR（15页）.pdf》由会员分享，可在线阅读，更多相关《山石网科：企业安全业务流程自动化SOAR（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、山石网科企业安全业务流程自动化（SOAR）智源 智能安全运营中心2022.1SOAR背景vSOAR内涵及目标3SOAR内涵从各种来源获取输入，并应用工作流来处理各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。短期目标实现手动任务和重复性任务的自动化，缩短威胁的补救时间。长期目标从综合安全运营视角里找到可以量化、标准化的抓手去提升安全运营成熟度。本质是通过安全编排、自动化与响应技术将安全运营相关的人、技术和流程进行整合，有序处理多源异构数据，持续进行安全告警分诊与调查、攻击分析、威胁处置、事件响应，衡量并改善安全运营效率、简化安全运营管理、为安全团队赋能。Security Orch

2、estration,Automation and Response安全编排自动化与响应vSOAR的驱动因素4严峻网络安全形势人力不足且经验难固化安全合规要求企业内部安全运营需求安全事件高发威胁向更高级方向发展漏洞数量持续增长人才缺口实战经验存储设备多误报高人工处置效率设备孤立缺乏联动防御理念转变快速响应要求山石网科SOAR解决方案v6RASAPTOSGHSAHSM云格云瞻云影数据中心NGFWDBAWAF防篡改EDRNGFWIDPSADC云界云池云集vDBAvRASvWAF全网监控平台其他安全设备云端联防能力网内联防能力三方联防能力情报互递共享安全日志/流量元数据处置策略云端协同能力安全服务能力

3、微颗粒洞察-秒级检索，快速溯源层次化预警通报响应-安全设备统一管理-工单跟踪记录响应过程-按需自动化，实现立体化联动协调立体式检测-特征检测、关联分析，NTA，UEBA多维度度量-丰富灵活的报表报告全方位感知-实时监控，全面感知-灵活的看板定制-安全态势一览无余开放式扩展-API接口-开放的检测规则管理-硬件可弹性扩展BDSAgentSOAR平台下沉式联动-访问控制、进程结束、文件隔离、USB管控、重启等山石网科“云网端”视角构建SOAR平台v山石网科SOAR平台体系架构7 7网络侧接口主机侧接口联动模块剧本管理SOAR可视编排联动实体工单管理统一联动响应接口资产管理用户画像风险管理弱点管理态

4、势感知威胁分析攻击画像溯源取证异常行为攻击模型大数据分析AI机器学习算法模型日志信息数据源流量信息主机信息漏洞信息情报中心NGFWIDPSWAF云防护EDR管控点输入输出输出输出v山石网科SOAR关键性技术8安全流程自动化自动化告警分诊、自动化安全响应、自动化剧本执行、自动化服务调用等响应复盘管理告警策略配置及聚合、工单可视化管理、响应过程记录等安全能力集成对接全链条数据接入、安全设备对接、威胁情报及脆弱性接入等安全剧本编排提供图形化的剧本编排界面，允许安全工程师通过拖拽的方式实现安全响应剧本的设计等v持续优化SOAR，让技术、流程和人达到完美配合9工单流转情报查询设备对接威胁响应联动处置告警

5、通知AI检测分析建模风险感知态势呈现威胁检测流程关联分析流程弱点管理流程日志管理流程威胁处置流程资产管理流程分析响应预警SOAR安全专家预警通报联动处置闭环人流程技术SOAR典型案例剖析v背景及需求分析11背景用户整体网络架构包括核心业务区、内网区、对外发布区、边界区、虚拟化区、云端区、安全管理区等，同时业务系统之间的交互亦十分频繁。现网安全设备种类较多，包括防火墙、IPS、IDS、EDR、虚拟化网络安全产品等，具备基础的防御能力。需求分析实现手动任务和重复性任务的自动化，缩短威胁的补救时间；实现事件响应流程中的编排和自动化，改善安全效率；通过自定义运行指示引导分析人员操作，对安全运营工作负载

6、进行优先排序；确保统一的流程，改善团队协作；借助面向常见威胁的事件响应，嵌入最佳实践。从综合型安全运营视角里找到可以量化、标准化的抓手去提升安全运营成熟度，合理运用现有分析人员所积累的知识配合playbook（剧本）化的方式去驱动整个安全运营中心的作业，在已有的运营手段基础上提供一个更加灵活和本地场景定制化的手段去优化提升安全运营效率。日常运营过程中依赖被动防御、大量安全事件的产出需要人工介入分析、一次常规事件响应涉及多个设备/系统，安全管理人员工作量增加且效率降低，同时相关政策对网络安全威胁监测、处置和通报等保障工作也提出更高要求，提升安全主动防护能力