闲谈：

从开始了解SOAR技术、参与方案设计、项目实施落地做了有段时间了，随着项目慢慢深入，延展了对SOAR类产品理解范围，并且有了一些新的领悟。近期得空，想对SOAR的应用实践做个小结。如果能给刚接触SOAR类产品的小伙伴带来一些新的思路、启发，在工作中能少走一点弯路，那就更好了。

SOAR介绍

Ps：网上已有许多介绍SOAR的文章，这里就不在过多介绍，为保证总结完整性，稍作赘述。

概述:

SOAR（Security Orchestration,Automation and Response安全编排自动化响应），Gartner 对 SOAR 的最新描述性定义（摘自 Gartner 报告《Hype Cycle on Threat-Facing Technologies, 2018》) 是：SOAR 是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动。SOAR 工具使得企业和组织能够对事件分析与响应流程进行形式化的描述。

翻译一个通俗版本：

SOAR是一套安全自动化技术。基于SOAR技术的系统（以下简称SOAR），通过接收SOC/SIEM/态势感知系统、人工创建的事件，然后利用剧本（预先编排好的、可以自动执行的事件处置流程。）调度网内已经购买的安全产品，开展自动化响应处置工作；SOAR在整个事件处置过程中，处于连接中枢和调度指挥中心的角色。 

Ps：该图摘自《雾帜智能HoneyGuide-SOAR智能安全运营解决方案》

SOAR应用效果：

SOAR将以天、小时、分钟为单位安全事件处置工作，缩短为以小时级、分钟级，甚至秒级完成。帮助安全团队加速威胁响应与处置，提升运营自动化，实现风险自适应治理；达到降缩短响应时间，最终超越网络攻击的速度和规模；减少损失，降本增效的效果。

下面我以近期项目为例，与大家一起梳理实践过程：

背景：

A公司设有1个总部、多个二、三级单位，其中个别二单位跨省设在异地；总部设有安全组5人、各二级单位设有安全岗1人（兼职）；多年安全建设已具备基础安全能力，安全相关设备包括态势感知、防火墙、漏扫、威胁情报、蜜罐、WAF、VPN、堡垒机、IPS等；每天告警数量达6500+；日常工作中，特别关注处置挖矿、僵木蠕、恶意软件、弱口令、钓鱼、扫描事件。

项目需求场景：

PS：SOAR安全编排自动化响应工作是一个循序渐进的过程，1次无法穷举所有安全场景进行自动化。通常在运营过程中，需要逐步实现对各类安全事件处置工作进行加速、提效，优先将最重要、核心关注的事件处置场景实现自动化处置。当然，首先要具备SOAR的能力，上SOAR系统、或是自研。

(项目调研、沟通过程，略.....)

场景1、对挖矿、僵木蠕、恶意程序、弱口令、钓鱼事件处置等告警事件自动研判、封禁、通告等处置动作。

场景2、对需求1告警外的高可信告警事件自动处置。

场景设计思路：

1、针对上述两类需求，梳理自动化编排的场景。在设计剧本时，需要考虑，接入SOAR系统的事件包含真实攻击事件、误报事件、攻击失败事件三类，为了确保事件处置准确性、和效率，剧本需要对这三类事件进行设计：

1）真实攻击事件：

• 这部分告警可信度高，结合少量研判条件，可以直接自动完成处置操作。
• 对单位时间内，出现符合特征的重复告警事件，需要自动合并为一条告警事件，并进行自动封禁、通告等处置操作。其中，特征可以自定义，比如攻击源、攻击类型相同的告警；源、攻击目的地址相同的告警等。

PS：实操中这部分告警相对来说，还是比较容易处理的。

2）误报事件：

• 误报事件辅助研判：收集与事件相关的资产、威胁情报、白名单、Playload等信息，对于事件相关的多个情报交叉印证；并与现有安全系统告警事件、信息碰撞，研判为非误报事件自动处置。
• 自动过滤掉已经加白的告警事件。这部分考虑是，在各安全设备上报给态势感知的日志，存在没有区分加白的告警，直接全部发给态感。
• 将疑似误报告警自动发送安全人员研判，过滤掉安全设备规则库中逻辑错误的误报；不能排除的、可能与业务相关的误报，自动收集与事件有关的业务人员信息，并告知安全人员，便于共同研判。
• 将研判为误报事件，一键自动获取IOC规则、域名并加白，自动记录误报事件，供后续优化检查规则。

3）攻击失败：

• 对单位时间内出现的低危探测行为，且标记为攻击失败的事件进行自动统计、通告，并关闭事件。
• 中、低危告警，根据攻击频率、结合攻击类型库黑名单自动处置。

2、梳理事件处置流程，流程相同的告警共用一套剧本。 主要包含高危事件处置主剧本。

结合需求场景，主要剧本设计逻辑如下：

1、高危事件处置主剧本

• 先对接收的、特征相同的告警事件合并。
• 过滤掉包含在白名单内的事件，并发出告警通知。
• 从受攻击资产所在单位（A子公司）角度，按照外对内、内对外、内对内3个攻击方向，设计事件处置流程。
  • 外对内：
    • 互联网攻击A子公司。处置方式：结合威胁情报相信，国外IP直接封禁，国内IP根据攻击频率和攻击时间进行阶梯封禁。
    • 公司内部非A子公司攻击A子公司。处置方式：对攻击IP归属地信息，受攻击资产信息、攻击类型库比对、攻击频率等条件研判，进行封禁、整改通告、整改复核等处置操作。 

• • 内对外：
    • A子公司攻击互联网（目的地址是互联网IP）。处置方式：结合威胁情报、国外IP直接封禁、国内IP根据攻击频率和攻击时间进行阶梯封禁。
    • A子公司攻击其他子公司。处置方式：以告警提醒，配合人工审批封禁封禁IP为主。审批不通过的，加白处理。
  • 内对内：
    • A子公司内部攻击事件。处置方式：获取攻击IP地址资产信息，通知整改、自动复核。    

高危事件处置主剧本

PS：蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。

2、挖矿、僵木蠕、恶意程序事件处置剧本

• 接收挖矿、僵木蠕、恶意程序告警事件后，获取威胁情报信息、封禁恶意域名
• 判断受攻击资产设备类型、告警类型。
  • 如果是服务器、且攻击类型为恶意软件。处置方式为，告警通知、人工整改、整改复核。如果为木马、挖矿类事件，先查杀病毒，复核不通过，再人工介入。
  • 如果是PC，先封禁。后续处置操作与服务器类似。
  • 最后将封禁的PC 执行解封操作，并关闭工单。 

注：蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。

3、弱口令事件处置剧本

• 获取弱口令告警事件后，找到受攻击资产信息，通过工单系统、作战室通知整改。
• 复核通过后关闭工单。

注：蓝色节点为“整改复核流程”这个流程中包含误报处置逻辑。

4、钓鱼事件处置剧本

本场景包含2个钓鱼邮件处置场景：

• 钓鱼邮件事件处置--整改：
  • 人工导入点击邮件人员IP后，自动获取iP对应人员信息，封禁IP；同事发送至二级单位接口人（接口人告知IP对应人员进行安全培训、参加考核），SOAR定期从考核系统上获取“考核通过”的信息后，解封IP。
• 钓鱼邮件事件处置--核实：
  • 人工上传钓鱼邮件内容后，解析邮件内容，判断钓鱼类型是附件钓鱼还是url钓鱼。
  • 附件钓鱼，获取文件进行沙箱分析，查询威胁情报，判断有无风险，有风险添加DNS黑洞和防火墙黑名单。
  • url钓鱼，判断是否在白名单，如果不在，查询威胁情报，判断有无风险，有风险添加DNS黑洞和防火墙黑名单。 

5、其他剧本：

5.1【子剧本】整改复核 

5.2【子剧本】误报告警处置

方案效果

（1）综合提高安全运营能力：实现了对安全事件、安全人员、安全设备、安全策略和安全流程的集中运营，降低了沟通成本，目前已可以自动完成日常安全运营中30%+的安全事件处置工作，能够帮助安全防御体系、运营质量等综合能力提升。

（2）全面加快应急处置的速度：以SOAR为核心的安全编排能力，通过自动化响应剧本实现对安全设备能力的组合调度，实现安全事件自动响应，降低了对人员的严重依赖，系统处理效率是以往人工处置的30倍以上，应急响应速度和水平得到了质的提升。

（3）大幅节约安全运营人员投入成本：对安全事件的自动化响应、处置，减少人工干预，降低对人力资源的依赖，减轻了安全团队的工作负担。从长远来可以减少人员投入，实现降本增效的科学化安全运营。

随着后续SOAR在更多安全场景使用，相信将会对安全运营能力进一步提升。

PS：非常感谢你能看到这里，以上为个人观点，欢迎一起交流讨论。:)  如果你也面临文中提到的问题，可以参考文中的观点。或是有供更好的解决方法，欢迎分享。群策群力，共同进步！