【企管大資料】企業安全自動化的7個流程
公司企業想要節約事件響應及安全調查流程中寶貴的時間,改善公司整體網路安全態勢,就應自動化以下7個過程。
1. SIEM升級
安全警報來自很多來源,但大企業中,大多數事件起於SIEM。從SIEM到SOAR的過濾過程可以通過自動化警報升級的標準來增強。
將精心挑選的升級規則與自動化情報收集結合,分析師便可專注重大事件,且能獲得完整的上下文,而不用每天忙於從成百上千的警報中篩選出真正的威脅。
2. 信譽查詢
通過自動化節省時間的最大機會,就是收集上下文資料以幫助分析師評估威脅。
比如說,如果一封郵件被標記為潛在網路釣魚嘗試,SOAR平臺可自動查詢郵件中URL的信譽,檢查該域名擁有者的地理位置,調查與已知攻擊者的連線等等。
如果沒有自動化,分析師就不得不轉到其他應用,手動查詢這些資訊,有時候一天之中這種被迫手動查詢的行為甚至會多達上百次。
3. 風險評分
承接升級與豐富事件的過程,SOAR平臺還可以再加一層自動化以幫助分析師快速確定需投以關注的事件。
通過參照自定義的標準比較威脅情報、連結分析和其他上下文資料以產生風險評分,自動化可被用於將事件以正確的優先順序分配給合適的分析師,比如將誤報率高的事件挪到事件佇列尾部。
4. 封鎖使用者
自動化最有益的應用之一就是比人類分析師更快動作。這在限制事件影響上非常有用。
可通過自動化加速的安全動作的例子中包括禁用與事件有關的使用者許可權。
如果某使用者賬戶被標記為有可疑行為,比如在非正常時間登入或試圖訪問敏感系統,立即禁用該賬戶是防止資料洩露的最佳機會。
5. 指導調查
以上都是自動化的常見用例,但還有些不那麼為人所知的用法,比如用自動化來引導調查人員執行調查流程。
制定手冊並內建自動化步驟很常見,但自動化還可應用到深度調查中以保證調查人員不走偏。
這一點對經驗等級組成涵蓋很廣的團隊就很有用,因為內部經驗、行業最佳實踐以及地區性合規要求都可以構建到調查工作流中。
這麼做可以確保即便調查人員不熟悉不同司法轄區或不同事件型別的要求,也能採取正確的步驟。
6. 報告閾值
經理、高管和其他利益相關者需擁有安全過程可見性,但安全團隊的時間精力不應該花在填寫併發送常規報告上。利用自動化,便可以設定觸發報告的閾值,比如有太多待處理事件或者有人錯過了重要的截止期時。
7. 通知與任務分配
自動化不僅僅是加快動作,還可以用於協調安全團隊的人力與過程。與設定自動化報告閾值類似,自動化工具可被用來設定自動化通知與任務分配的標準。