权威咨询机构Gartner发布的 2019 年安全编排与自动化响应解决方案（SOAR）市场指南中指出，“截止2022年，安全团队规模超过5人的安全企业中，超过30%的企业将使用SOAR安全编排自动化响应方案”。今天绿盟君就来介绍下，企业如何借助绿盟SOAR系统在三分钟内完成安全编排及自动化响应。

从安全事件处置流程看企业在安全运营中的痛点及诉求

在企业传统的安全运维及事件处置中，一般遵循以下流程：

表：传统安全运维流程

经过以上的7步，一个信息安全事件的处置流程才算是结束。在该过程中，会有多个部门不同角色参与，处置流程较繁琐，效率难以量化，不同事件的处置流程难以统一标准化。

同时企业在安全运维中还常常面临着以下痛点：事件告警太多，有效事件告警被淹没，导致安全事件难以及时处置。企业侧往往缺乏安全分析及处置的专业人员，安全分析经验难固化，而且安全专家很容易陷于重复的安全处置工作中，以至很难发挥出其真正的价值。最重要的是，企业受到流程及人员的制约，传统安全响应处置的时间过长。

因此企业在安全运营发展及演变中增加了以下的诉求:

提高信噪比：增加有效高保真告警，使有限的安全专家资源专注投入于真正需要危险和问题上。

降低MTTR: 固化安全处置流程，不断积累运营经验，持续运营，使得响应处置时间不断降低。

绿盟科技SOAR安全编排及自动化响应方案

图：绿盟SOAR组件入口

ISOP智能安全运营平台已经融合了SOAR安全编排自动化响应功能，从绿盟ISOP智能安全运营中心运维响应-联动编排入口，即可使用安全编排及自动化响应处置功能，开启企业自动化安全编排响应之旅。

 图：绿盟SOAR安全编排及自动化响应方案

ISOP中SOAR组件通过可视化编排将人、安全技术、流程进行深度融合；通过人工运维经验固化而来的Playbook剧本串并联构建安全事件处置的工作流，自动化触发不同安全设备执行响应动作，案例管理基于对安全事件上下文有更全面、端到端的理解，帮助企业将复杂的事件响应过程和任务流转变为一致的、可重复的、可度量的和有效的工作流，变被动应急响应为自动化持续响应。

五大核心助力企业实现安全编排响应

1、全生命周期案例管理

  图：案例管理

案例是SOAR组件中最基础的功能，贯穿整个安全事件处置生命周期，包括信息安全事件研判所需的日志源、安全规则、情报取证及事件处置Playbook剧本的选择及执行。企业中告警安全事件只要能够匹配到案例，即可完成自动化响应处置，案例对安全事件上下文有更全面、端到端的理解，有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流。

在企业安全运营中，可将常见的安全事件与SOAR不同类别的案例建立对应关系，同一性质的案例（如：挖矿、入侵、拒绝服务、勒索、钓鱼、盗链、信息泄露等）可以选择一类相通的处置方法，案例的流程处理功能可以为不同性质的案例指派不同的Playbook剧本，并监督执行完成企业安全事件自动化闭环响应处置。

2、可视化安全拖拽编排

图：可视化案例编排1

 图：可视化案例编排2

ISOP中SOAR组件内置了一些常见攻击对应的案例，除此之外，企业可通过可视化拖拽编排方式快速创建案例及其对应Playbook剧本，安全研判不同步骤间往往具有依赖关系，安全事件分析过程通过可视化拖拽方式，为安全处置提供上下文，避免传统运维要在不同页面间进行跳转切换，降低安全事件处置复杂度。案例一旦创建成功启用，后续命中案例的事件即可通过自动化方式进行处置，降低了不同部门间协同沟通、流程流转消耗的成本。

  图：案例处置流程跟踪

案例可以帮助企业对一组相关的事件进行流程化、持续化的调查分析与响应处置跟踪记录，案例执行过程中，安全事件每个中间过程执行状态（成功、执行中、失败）均可在可视化编排流程中进行展示，进而实现端到端运维流程可视化。

3、Playbook剧本自动化处置

图：剧本Playbook运行状态

Playbook剧本等同于安全工程师的工作流程，可驱动与案例匹配事件的自动化闭环安全处置，ISOP SOAR模块可能会涉及到多个剧本并发执行，不同剧本的运行状态可通过界面进行全局概览（正在执行、执行成功、失败）。

企业中安全事件处置流程经验可以固化为Playbook剧本，并应用于自动化响应处置中，处置的动作可包括设备封堵、工单发送、邮件通知等，这样安全专家就可以从繁琐重复的安全运维中释放出来。

4、插件化响应设备集成

自动化安全编排响应“最后一公里路”封禁响应一般由安全设备进行执行，绿盟ISOP一键封堵模块前期已经积累了大量的响应处置设备，如防火墙、ADS、UTS、IDS、WAF等，响应的动作包括：会话封堵、IP封禁、域名黑名单、流量牵引清洗等，这些设备无需二次开发，即可直接通过SOAR模块实现即插即用。只需要根据第三方设备提供的北向管控接口开发插件，就可完成第三方设备自动化联动编排响应。

接入到SOAR系统的安全设备，通过Playbook剧本调用，即可完成自动化响应处置，无需安全运维人员登录到独立的安全设备上配置阻断策略。

5、自动化运维大屏展示

  图:自动化运维大屏展示

自动化运维大屏可从全局视角呈现企业自动化响应处置概况，如自动响应运营效率、案例事件统计信息、案例事件处置趋势、剧本执行信息等，将运维指标通过可度量可量化方式进行展示。

绿盟SOAR系统为企业安全运营带来的价值

1、降低安全事件处置时间MTTR

对于已知案例事件，通过案例匹配触发机制，企业可在三分钟内完成安全编排及自动化闭环响应流程。

表：传统运维时效与自动化运维响应处置时间对比

2、将安全运维人员从重复工作中释放出来

将安全专家的经验固化成Playbook，实现已知攻击分析、研判、处置全流程自动化，这样安全专家即可将精力投入到红蓝对抗、威胁狩猎、威胁建模、APT分析、漏洞挖掘等需要高级安全技能的工作场景，为企业安全运维工作创造更高的价值。

3、安全处置流程标准化，降低部门间协同沟通成本

SOAR系统的精髓是不同威胁场景对应的研判策略和处置策略的选择，这也正是Playbook在企业攻防对抗竞争中的核心价值体现之处，运维流程的标准化是Playbook剧本固化的前提，可借助SOAR Playbooks生成为抓手，变繁杂不规矩的处置流程标准化，夯实企业信息安全运营流程标准化建设。

总结

绿盟智能安全运营平台(ISOP)已经很好地支撑了安全威胁实时预警、资产及漏洞全生命周期管理、安全态势全面监控等企业安全运营场景。SOAR模块的融合为企业安全运营提供了一种全新的模式，将人、技术、流程深度融合，变传统的人工监测、预警、分析、多部门流转响应处置为安全编排及自动化响应处置，提高了企业安全运维效率，降低了企业安全运营成本，助力企业在体系化安全建设大潮中迅速转型。

参考文档：Gartner 2019 Market Guide for Security Orchestration, Automation and Response Solutions