从无到有创造SOAR
发布时间:2022-05-20 09:51:27 所属栏目:安全 来源:互联网
导读:考虑购买安全编排、自动化与响应(SOAR)解决方案的公司企业,往往会担心自己现有的事件响应项目尚未成熟到可实现带自动化与编排功能的综合性平台的程度。如果几乎没有任何基础,从零起步似乎甚为艰难,尤其是团队中无人有事件响应或安全编排解决方案经验的时
考虑购买安全编排、自动化与响应(SOAR)解决方案的公司企业,往往会担心自己现有的事件响应项目尚未成熟到可实现带自动化与编排功能的综合性平台的程度。如果几乎没有任何基础,从零起步似乎甚为艰难,尤其是团队中无人有事件响应或安全编排解决方案经验的时候。 如果你想要改善公司安全运营,但不知道从何处着手,以下几步或许可以帮你准备好迁移到SOAR平台。 1. 盘点当前运营状况 认为自己不具备事件响应项目的公司各有各的道理。无论有没有SOAR或事件响应平台,每家公司都有些管理安全事件的方法,即便可能涉及很多即兴动作和临时过程。 2. 找出最适用于自己公司的功能,以及提供这些功能的平台 市场上有各种各样的SOAR平台,要收窄自己的选择面,不妨花点时间确认一下对自己而言最为重要的功能。想要首先自动化的过程是哪些?什么问题是你安全团队最为棘手的?存不存在重复发生的安全事件、数据孤岛或过程瓶颈?你的分析师可以帮你回答这些问题。 每个平台都有各自侧重的安全运营方面。这些功能大致可分为以下几类: 警报管理:帮助SOC分拣、评估并关闭出自SIEM和其他源系统的持续安全警报流。 分类:通过从威胁情报和历史事件记录等外部和内部源收集上下文信息,帮助分析师做出决策。 事件响应:包含战术手册、任务管理、链接分析等功能,支持有效且可重复的响应工作流。 报告与分析:包括自动化或安排报告、产生详细SOC指标,以及为使用该系统的不同用户角色定制仪表板的能力。 合规与跟踪:比如审计跟踪、保管链和通用合规报告模板。 案例管理:包含对调查人员与其他团队间协作的支持、相关事件的案例存储目录、有引导的调查工作流和证据管理。 3. 试着草拟一份战术手册 想要对如何运用SOAR平台有个具体感知,可以试着为你最重要的用例草拟一份战术手册。然后,指出你觉得可用自动化和编排来加以增强的步骤。 从供应商或行业机构处可以很容易获取在线战术手册样例,这些样例应能给你有关步骤上的参考。评估公司现有过程并问询公司分析师可以得到更有价值的信息,包括常见用例或重要用例。可以从你安全环境中最典型的用例开始应用,比如网络钓鱼、可疑数据泄露,或者恶意软件感染。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐