1.前言

       Security Orchestration, Automation and Response（SOAR）安全編排和自動化響應,是Gartner2017年提出的新概念。Gartner預計到2019年，大概30%的大中型企業會進行SOAR平臺的建設。

2.  概述

       目前來說，一般大中型企業都已經建立了相對比較完備的安全運營中心SOC，為什麼又要提出SOAR的概念呢。主要是因為在SOC的運營過程中，面臨以下的一些問題：

• 大量的安全事件，都需要安全分析師的介入，運營成本高，企業需要用更少的錢，來做更多的事。
• 安全分析師的分析時間，經常被浪費在一些低級別或無關緊要的事件分析上。
• 傳統的安全響應執行過程，響應時間長，人工介入多，相關處理過程難以定量評估。
• 人員流動，帶來運營過程的變化和運營質量的變化，比如老人離職，新人進來需要培訓，需要時間和經驗的積累。

       SOAR平臺主要就是解決這些問題，其核心概念主要包括：

• Orchestration，編排

        與過去相比，現在的安全運營中心需要整合大量的系統，運維的複雜度也大大增加，事件的響應與處理需要應對各種各樣的複雜的情況。要滿足這些需求，必然需要的提供豐富的事件響應與處理編排能力，可以進行流程定製，流程執行，流程監控，結果的驗證與評估，流程再造。

• Automation，自動化

       當前安全分析師在解決安全問題時所需要的資料，分析的方法與過去相比，其工作量和內容都大大增加。資料是海量的資料，大量的資料需要使用自動化方式去處理。既可以節省時間，人力，成本，也避免人在處理大量資料的過程中帶來的誤差或失誤。

•  合理的KPI評估體系

       系統提供編排與自動化執行能力，也需要對流程和自動化執行的結果進行有效的評估，需要提供合理的評估方法，可量化的評估指標，根據評估結果，才可以進行流程再造，優化我們的編排內容，帶來整個安全運營中心的效率提升。

3.SOAR平臺基本功能需求

       針對SOC運營的一些問題，我們可以看出SOAR平臺需要具備的一些基本功能：

       1.系統能夠對接主流的安全管理平臺的管理資料，可以對安全事件進行二次分析和聚合。

       2.具備流程化自動執行功能，能夠依據場景或案例，制定執行計劃和執行指令碼，並具備自動、半自動和手動執行的能力。

       3.對執行效果可以提供合適的KPI進行評估，反饋，在修改的能力。

       4.執行過程能夠整合既有的知識庫，經驗。

       5.和威脅情報對接能力，多協議支援。

       6.可定製的視覺化分析和展現，可以定製Dashboard展現內容。

       7.內容分享，溝通和互動，充分利用微信，郵件等既有溝通平臺，提供反應速度。

4.SOAR和SOC的關係。

       有一部分人認為SOAR的功能是包含在SOC中的，比如現在國內的一些安全廠家，也都在SOC中新增事件處理，調查，響應功能。但是專業的事還是需要專業的軟體來執行，SOAR更偏重於安全分析師所做的工作，側重於過程，比如把對於一封釣魚郵件的分析，通過程式自動化的執行。而且一套好的SOAR平臺，是能夠整合不同廠家的相關產品，不管是SIEM，SOC，還是TI相關產品。SOC產品更偏重於事件的採集，分析與告警，響應在SOC中更多的是手動的的操作。