SOAR（安全編排、自動(dòng)化和響應(yīng)）被看作是下一代SOC的標(biāo)志性方案，同時(shí)也是提升安全運(yùn)營效率的關(guān)鍵機(jī)制。

　　眾所周知，下一代SOC的重點(diǎn)是提高檢測和響應(yīng)能力。但是今天的現(xiàn)狀是，SOC運(yùn)營團(tuán)隊(duì)不堪重負(fù)，誤報(bào)率居高不下，MTTR（平均響應(yīng)時(shí)間）表現(xiàn)遲遲難以提升。因此，安全業(yè)界和企業(yè)安全團(tuán)隊(duì)對SOAR解決方案寄予厚望，期望通過部署SOAR在檢測和響應(yīng)威脅方面大幅提高SOC效率。

　　但是，甲方企業(yè)也需要意識(shí)到，如果實(shí)施不正確，SOAR解決方案同時(shí)也會(huì)帶來新的挑戰(zhàn)。如果沒有適當(dāng)?shù)挠?jì)劃，采用安全自動(dòng)化工具的企業(yè)可能會(huì)成為常見失誤的受害者，這些失誤會(huì)迅速導(dǎo)致效率降低和安全狀況變差。

　　總之，企業(yè)選擇合適的SOAR解決方案，需要考慮多種因素。以下是幾位國外安全專家對SOAR選型給出的見解和建議：

　　Palo Alto Networks產(chǎn)品策略副總裁Rishi Bhargava

　　實(shí)施SOAR解決方案并非從“我沒有”到“好，現(xiàn)在我有了”這么簡單。企業(yè)需要評估其安全工具堆棧和現(xiàn)有流程，然后相應(yīng)地選擇其部署方法。

　　生態(tài)系統(tǒng)至關(guān)重要：SOAR解決方案需要能夠集成，涵蓋您當(dāng)前使用的供應(yīng)商工具。應(yīng)該提供內(nèi)部開發(fā)或自定義集成的選項(xiàng)。一個(gè)值得投資的SOAR解決方案，應(yīng)當(dāng)可以隨著企業(yè)的成長而成熟。將檢測、豐富化（enrichment）、執(zhí)行等流程和相關(guān)工具很好地集成起來。

　　強(qiáng)大的工單和案例管理功能：事件響應(yīng)很少以自動(dòng)化來開始和結(jié)束。分析人員總是會(huì)參與事件調(diào)查。請問供應(yīng)商：您的SOAR平臺(tái)是否原生提供本地案例管理，還是與相關(guān)工具集成？您可以重構(gòu)事件時(shí)間表嗎？您無需大量編碼即可輕松自定義預(yù)案嗎？

　　集成的威脅情報(bào)管理：手動(dòng)威脅情報(bào)工作流是耗時(shí)的，并且無法擴(kuò)展，因此，集成的威脅情報(bào)管理自動(dòng)化功能將大大減少您的平均響應(yīng)時(shí)間。

　　靈活的部署：SOAR平臺(tái)應(yīng)支持本地部署和云托管部署。對于分布式環(huán)境，請尋找可擴(kuò)展并支持完全多租戶環(huán)境的方案。

　　無論您在選擇或?qū)嵤㏒OAR的哪個(gè)階段，上述注意事項(xiàng)都將確保您所在的企業(yè)處于最佳路徑。

　　Micro Focus SecOps產(chǎn)品經(jīng)理GamzeBing?l

　　SOAR解決方案的根本目的是通過自動(dòng)化和編排技術(shù)幫助安全人員提高檢測和響應(yīng)網(wǎng)絡(luò)威脅的能力。

　　網(wǎng)絡(luò)安全自動(dòng)化：SOAR的自動(dòng)化功能應(yīng)通過消除誤報(bào)并自動(dòng)執(zhí)行重復(fù)性活動(dòng)來自動(dòng)處理大多數(shù)威脅。使用SOAR自動(dòng)執(zhí)行耗時(shí)且重復(fù)的任務(wù)，使分析師有更多時(shí)間專注于需要人工干預(yù)的案例。

　　開箱即用的預(yù)案：場景驅(qū)動(dòng)，隨時(shí)可用的自動(dòng)預(yù)案應(yīng)該是SOAR即開即用的功能。隨時(shí)可用的預(yù)案可以幫助團(tuán)隊(duì)將響應(yīng)時(shí)間從數(shù)小時(shí)縮短至數(shù)分鐘，并將提高分析師的工作效率。

　　與現(xiàn)有工具集成：單打獨(dú)斗的安全工具不如相互補(bǔ)充的集成工具套件有用。SOAR很重要的一點(diǎn)就是需要與企業(yè)中現(xiàn)有安全的解決方案、IT基礎(chǔ)結(jié)構(gòu)和技術(shù)集成，并通過加強(qiáng)協(xié)作和編排所有要素（就像它們都是同一解決方案的一部分一樣），充當(dāng)整個(gè)安全環(huán)境的集中式樞紐。

　　KPI和指標(biāo)：SOAR關(guān)于案例和分析師的詳細(xì)報(bào)告可以幫助管理人員了解歷史事件并更好地計(jì)劃未來的方向。

　　Exabeam歐洲、中東和非洲地區(qū)安全策略高級總監(jiān)Richard Cassidy

　　SOAR解決方案應(yīng)使團(tuán)隊(duì)能夠跨大量不同的數(shù)據(jù)流自動(dòng)進(jìn)行識(shí)別和響應(yīng)過程，從而使威脅和漏洞的優(yōu)先級劃分幾乎無縫銜接，并且在安全運(yùn)營效率上要高得多。

　　如果實(shí)施正確，安全運(yùn)營中心（SOC）可以從使用SOAR解決方案中受益，從而幫助他們更快，更有效地應(yīng)對威脅。

　　將SOAR與其他安全工具集成在一起，例如安全信息和事件管理（SIEM），可以通過自動(dòng)化來改變SOC團(tuán)隊(duì)的業(yè)務(wù)和技術(shù)成果，同時(shí)還可以提高效率。

　　企業(yè)可以使用SOAR來增強(qiáng)SIEM的功能，從而提供全面的解決方案。SIEM以一種有用的方式收集和存儲(chǔ)數(shù)據(jù)，SOAR可以使用它來自動(dòng)調(diào)查事件并做出響應(yīng)，并減少對人工操作的需求。

　　而且，對于SOC團(tuán)隊(duì)迄今為止最大的挑戰(zhàn)——誤報(bào)，SOAR解決方案可以幫助采集信息，對重復(fù)警報(bào)進(jìn)行優(yōu)先級排序和合并，以減少誤報(bào)的數(shù)量。

　　科迪康奈爾大學(xué)首席戰(zhàn)略官，Swinlane

　　在考慮SOAR解決方案時(shí)，企業(yè)需要從兩個(gè)角度進(jìn)行思考：安全運(yùn)營自動(dòng)化需要解決的問題是什么，需求是什么？將來如何利用自動(dòng)化？

　　首先，您使用的工具或針對您的對手是靜態(tài)的，還是動(dòng)態(tài)的？當(dāng)然，絕大多數(shù)情況下答案都是后者。因此，您應(yīng)該選擇可以快速集成快速擴(kuò)展的解決方案——不僅足以滿足當(dāng)今的需求，而且還能夠滿足未來的需求。

　　其次，當(dāng)您查看攻擊者技術(shù)的變化時(shí)，您是否認(rèn)為攻擊者也會(huì)擁抱自動(dòng)化？事實(shí)上攻擊者不僅使用自動(dòng)化來運(yùn)行掃描，而且還使用DevOps方法來為每個(gè)攻擊目標(biāo)構(gòu)建唯一的基礎(chǔ)架構(gòu)。

　　如果這種情況繼續(xù)下去，您將需要一個(gè)自動(dòng)化平臺(tái)，該平臺(tái)能夠在無需人工干預(yù)的情況下，對案件和警報(bào)中的危害指標(biāo)（IOC）和其他情報(bào)進(jìn)行追溯和調(diào)查。

　　Splunk安全布道者M(jìn)atthias Maier

　　選擇SOAR平臺(tái)時(shí)應(yīng)考慮幾個(gè)不同的標(biāo)準(zhǔn)，以及使用哪些標(biāo)準(zhǔn)：

　　核心能力

　　這些可以被認(rèn)為是SOAR平臺(tái)的基本組成部分和功能，用戶可以輕松識(shí)別。其中的一些重要組件例如編排器、負(fù)責(zé)指導(dǎo)和監(jiān)督與給定安全方案有關(guān)的所有活動(dòng)。編排器需要最佳化利用可用資源，這一點(diǎn)至關(guān)重要。另一個(gè)是自動(dòng)化引擎。由于自動(dòng)化任務(wù)是獨(dú)立運(yùn)行的，并且在很大程度上不需要人工干預(yù)，因此平臺(tái)可伸縮性和可擴(kuò)展性等屬性是要考慮的重要標(biāo)準(zhǔn)。案例和預(yù)案管理也應(yīng)予以考慮。

　　平臺(tái)屬性

　　這屬于定性標(biāo)準(zhǔn)。通過觀察和與平臺(tái)的交互，可以更頻繁地評估這些標(biāo)準(zhǔn)。SOAR平臺(tái)必須支持強(qiáng)大的社區(qū)模型，并易于共享應(yīng)用程序集成和劇本。了解SOAR平臺(tái)在垂直和水平方向上如何擴(kuò)展也很重要。隨著時(shí)間的推移添加用例，平臺(tái)上將增加額外的處理負(fù)載。開放、移動(dòng)友好且易于使用的平臺(tái)也是關(guān)鍵考量因素。

　　商業(yè)考慮

　　其中包括公司為增強(qiáng)其核心技術(shù)而提供的增值服務(wù)，例如培訓(xùn)和支持。無論公司的核心技術(shù)多么出色，在傳統(tǒng)上被認(rèn)為是對購買者的決策過程產(chǎn)生重大影響的產(chǎn)品之外的其他因素也需要給予關(guān)注。

　　SIRP首席執(zhí)行官Faiz Ahmad Shuja

　　一項(xiàng)研究發(fā)現(xiàn)，安全專家平均每天收到840個(gè)安全警報(bào)。由于大多數(shù)警報(bào)大約需要15-30分鐘才能完成手動(dòng)調(diào)查，因此對于任何安全團(tuán)隊(duì)而言，這幾乎是一項(xiàng)不可能的任務(wù)。

　　使盡可能多的工作負(fù)載自動(dòng)化將使安全團(tuán)隊(duì)能夠跟上步伐，并確保重要的威脅不會(huì)被忽略，SOAR平臺(tái)是最有效解決方案之一。

　　成功集成SOAR的最重要步驟是為所有安全流程提供可靠的文檔。對于所有主要流程，都需要有完善的響應(yīng)手冊。例如，如果檢測到潛在的網(wǎng)絡(luò)釣魚電子郵件，則響應(yīng)可能包括調(diào)查發(fā)件人的地址和檢測欺騙的跡象，對所有URL的信譽(yù)得分和惡意腳本進(jìn)行探測。一旦記錄了所有這些過程，SOAR平臺(tái)就可以開始自動(dòng)執(zhí)行它們。

　　另外，組織需要確保他們選擇的SOAR平臺(tái)具有強(qiáng)大的集成能力。該平臺(tái)將需要與他們現(xiàn)有的SIEM解決方案平穩(wěn)配合，并與其他安全解決方案和更廣泛的IT基礎(chǔ)架構(gòu)連接。

　　Siemplify首席執(zhí)行官Amos Stern

　　安全協(xié)調(diào)、自動(dòng)化和響應(yīng)，能夠解決安全團(tuán)隊(duì)長久以來面臨的一些最令人沮喪的挑戰(zhàn)。

　　正確的SOAR平臺(tái)，加上良好的實(shí)施，可以幫助減少警報(bào)過載，將組織所使用的多種不同的檢測工具結(jié)合在一起，并構(gòu)建自動(dòng)化和可重復(fù)的流程以減少響應(yīng)時(shí)間，同時(shí)又使安全分析人員擺脫了繁瑣且通常是繁瑣的手動(dòng)工作。使他們可以專注于高價(jià)值的工作，例如搜尋威脅和建立更具彈性的安全基礎(chǔ)架構(gòu)。

　　SOAR解決方案的核心應(yīng)該是獲取警報(bào)，（通過本機(jī)API）與各種第三方檢測工具集成，并使工作流程自動(dòng)化。

　　但是，最好的SOAR可以充當(dāng)集中式工作臺(tái)。像Salesforce一樣思考，這也適用于SOC分析師。您應(yīng)該尋找的SOAR解決方案應(yīng)當(dāng)具備以下高級功能：

　　案例管理（特別是對與上下文相關(guān)的警報(bào)進(jìn)行分組的能力）；

　　集成的威脅情報(bào)；

　　協(xié)作（在新的遠(yuǎn)程辦公環(huán)境中尤其重要）；

　　儀表板和KPI（以提供可見性和洞察力）；

　　危機(jī)管理（升級）在發(fā)生重大事件時(shí)進(jìn)行跨組織的響應(yīng)。